Amennyiben LastPass jelszókezelőt használsz, érdemes lehet megváltoztatni a benne tárolt alkalmazások és weboldalak jelszavát.
A LogMeIn-ből 2021-ben kivált LastPass a világ egyik legnépszerűbb jelszókezelő szolgáltatása, segítségükkel körülbelül 33 millió magán és közel százezer üzleti vagy céges felhasználó tárolja biztonságos, kódolt formában más szolgáltatásokhoz tartozó jelszavát és egyéb bejelentkezési adatait. Éppen ezért komoly jelentőségű egy olyan jellegű támadás, mint a most novemberben elkövetett.
A LastPass ellen augusztusban már elkövettek egy támadást, akkor fontos kódrészleteket és technológiai háttérinformációkat loptak el a vállalattól. A cég közleménye szerint ezeket az adatokat felhasználva sikerült megszerezniük a felhasználók adatait azoknak a támadóknak akik az idei második támadást intézték.
A vállalat novemberben már kiadott egy közleményt az esetről, akkor azonban még nem tudták, pontosan milyen információkhoz fértek hozzá a támadók. A most frissített bejegyzés alapján azonban kiderült, hogy gyakorlatilag minden fontosabb információt megszerezhettek a támadók, hiszen a jelszavakat tartalmazó ún. trezorokat is megszerezték. Ezek a trezornak nevezett adattömbök egy, a felhasználó által ismert, titkosított jelszóval nyithatók ki, amit mesterjelszónak neveznek. Ugyan a trezorok adatait a LastPass a felhasználó számítógépén tárolja, annak biztonsági másolatát a szervereken is megtalálni, mely most a hackerek kezére került.
A cég ugyanakkor felhívja a figyelmet, hogy a trezorok továbbra is 256 bites AES-titkosítással védettek, így csak abban az esetben sikerülhet feltörni azt, ha a támadók ismerik a kulcsként használható mesterjelszót is. Amennyiben valaki követte a vállalat tanácsait a mesterjelszó megalkotásakor és megfelelő paraméterekkel látta el azt, úgy a mesterjelszót nehéz feltörni. A támadók ugyanakkor próbálkozhatnak „brute-force” módszerekkel is az egyes mesterjelszavak megszerzésére így a gyengébb jelszavak birtokosai nagyobb veszélynek vannak kitéve. Mindennek ellenére a vállalat javasolja, hogy változtassuk meg a fontosabb alkalmazásokhoz tartozó jelszavakat és állítsunk be erős mesterjelszót, amennyiben eddig nem tettük meg.