Isikuandmed ja paroolihoidlad, mis sisaldavad miljonite kasutajate sisselogimismandaate, on nüüd kurjategijate käes. Kui olete kunagi kasutanud paroolihaldurit LastPass, peaksite nüüd muutma kõik oma paroolid. Ja peaksite viivitamatult võtma täiendavaid meetmeid enda kaitsmiseks.
Mis juhtus 2022. aasta LastPassi andmete rikkumisega?
LastPass on paroolihaldusteenus, mis töötab "freemium" mudelil. Kasutajad saavad LastPassi abil salvestada kõik oma võrguteenuste paroolid ja sisselogimisandmed ning pääseda neile juurde veebiliidese, brauseri lisandmoodulite ja spetsiaalsete nutitelefonirakenduste kaudu.
Paroolid salvestatakse "hoidlates", mis on kaitstud ühe peaparooliga.
2022. aasta augustis teatas LastPass, et kurjategijad olid kasutanud ohustatud arendajakontot, et pääseda juurde LastPassi arenduskeskkonnale, lähtekoodile ja tehnilisele teabele.
Täpsemad üksikasjad avaldati 2022. aasta novembris, kui LastPass lisas, et mõned kliendiandmed on avalikustatud.
Rikkumise tegelik raskus selgus 22. detsembril, kui a LastPassi ajaveebi postitus märkis, et kurjategijad olid kasutanud osa varasema rünnaku käigus saadud teabest varukoopiate varastamiseks sealhulgas klientide nimed, aadressid ja telefoninumbrid, e-posti aadressid, IP-aadressid ja osaline krediitkaart numbrid. Lisaks õnnestus neil varastada kasutajate paroolihoidlad, mis sisaldasid krüptimata veebisaitide URL-e ja saitide nimesid, samuti krüptitud kasutajanimesid ja paroole.
Kas kurjategijatel on raske teie LastPassi peaparooli murda?
Teoreetiliselt jah, häkkeritel peaks olema raske teie peaparooli lahti murda. LastPassi ajaveebipostituses märgitakse, et kui kasutate nende soovitatud vaikesätteid, "võtaks üldkasutatava paroolimurdmise tehnoloogia abil oma peaparooli ära arvamine miljoneid aastaid."
LastPass nõuab, et põhiparool oleks vähemalt 12 tähemärgi pikkune, ja soovitab mitte kunagi kasutada oma peaparooli teistel veebisaitidel.
LastPass on aga paroolihaldusteenuste hulgas ainulaadne, kuna see võimaldab kasutajatel määrata paroolivihje, mis tuletab neile meelde peaparooli, kui nad selle kaotavad.
Tõhusalt julgustab see kasutajaid kasutama sõnaraamatu sõnu ja fraase oma parooli osana, mitte tõeliselt juhuslikku tugevat parooli. Ükski paroolivihje ei aita, kui teie parool on "lVoT=.N]4CmU".
LastPassi paroolihoidlad on juba mõnda aega olnud kurjategijate käes ja kuigi need on krüpteeritud, saavad need lõpuks alluma toore jõu rünnakutele.
Ründajate töö on lihtsam tänu laialdaselt kasutatavate paroolide tohututele andmebaasidele. Saate alla laadida 17 GB suuruse parooliloendi, mis sisaldab 613 miljonit kõige levinumat parooli on möllatud, näiteks. Teised paroolide ja mandaatide loendid on saadaval pimedas veebis.
Kõigi poole miljardi kõige tavalisema võtme proovimine üksiku varahoidla vastu võtaks minuteid ja kuigi suhteliselt vähe oleks nõutavad 12 tähemärki, on tõenäoline, et küberkurjategijad suudavad kergesti tungida heasse osasse võlvid.
Lisage sellele asjaolu, et arvutusvõimsus kasvab aasta-aastalt ja et motiveeritud kurjategijad saavad oma jõupingutustele kaasa aidata hajutatud võrkude abil; "miljoneid aastaid" ei tundu enamiku kontode jaoks teostatav.
Kas LastPassi rikkumine mõjutab ainult paroole?
Kuigi uudiste pealkiri on see, et kurjategijad võivad teie LastPassi varahoidlasse tungida, saavad nad seda ära kasutada muul viisil, kasutades teie nime, aadressi, telefoninumbrit, e-posti aadressi, IP-aadressi ja osalist krediitkaarti number.
Neid saab kasutada mitmel pahatahtlikul eesmärgil, sealhulgas rünnakud teie ja teie kontaktide vastu, identiteedivargus, teie nimel krediidi ja laenude võtmine ning SIM-i vahetamise rünnakud.
Kuidas saate end kaitsta pärast LastPassi andmete rikkumist?
Peaksite eeldama, et mõne aasta jooksul satub teie põhiparool ohtu ja kõik selles sisalduvad paroolid on kurjategijatele teada. Peaksite need kohe muutma ja kasutama unikaalseid paroole, mida te pole kunagi varem kasutanud ja mida pole üheski enamkasutatavas parooliloendis.
Mis puudutab muid kurjategijate LastPassist saadud andmeid, peaksite oma krediidi külmutamaja kasutage krediidi jälgimise teenust, et jälgida kõiki teie nimel olevaid uusi kaardi- või laenutaotlusi. Kui saate oma telefoninumbrit ilma liigsete ebamugavusteta muuta, peaksite seda ka tegema.
Võtke vastutus oma turvalisuse eest
LastPassi on lihtne süüdistada andmetega seotud rikkumistes, mille tõttu sattusid teie paroolihoidlad ja isikuandmed kurjategijate kätte. kuid paroolihaldusteenused, mis kaitsevad teie elu ja aitavad teil luua ainulaadseid kombinatsioone, on endiselt parim viis teie võrgu kaitsmiseks elu.
Üks viis, kuidas potentsiaalsetel varastel teie elutähtsate andmete kättesaamist raskendada, on hostida oma riistvaras paroolihaldur. See on odav, hõlpsasti teostatav ja mõningaid lahendusi, näiteks VaultWardeni, saab isegi Raspberry Pi Zero'l juurutada.