Na blogu menadżera haseł LastPass czytamy o tym, że przestępcy weszli w posiadanie zaszyfrowanych baz z hasłami użytkowników. Na szczęście, aby się do nich dostać, należałoby złamać główne hasło (master password) do aplikacji, które jest ustalane przez klientów usługi. Niestety osoby, które stworzyły bardzo słabe hasło główne powinny podjąć określone kroki.
Niedawno informowałem Was o tym, że menadżer haseł LastPass został zaatakowany przez hakerów. Weszli oni w posiadanie nieokreślnych informacji, które dotyczą użytkowników, jednak hasła – według prezesa firmy – miały być nietknięte dzięki szyfrowaniu. Niestety ostatnia informacja opublikowana na blogu LastPass wskazuje na to, że przestępcy uzyskali dostęp także do zaszyfrowanych baz, które zawierają hasła.
Wiadomość, którą umieścił prezes Karim Toubba wskazuje czego do tej pory firma dowiedziała się o zaistniałym ataku. We wpisie czytamy, że przedsiębiorstwo do tej pory ustaliło, „że po uzyskaniu klucza dostępu do magazynu w chmurze i kluczy deszyfrujących do podwójnego kontenera pamięci masowej, podmiot odpowiedzialny za zagrożenie skopiował z kopii zapasowej dane, które zawierały podstawowe informacje o kontach klientów i związane z nimi metadane, w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass”.
Dowiadujemy się również, tego, że „przestępcy zdołali skopiować kopię zapasową bazy danych klientów (customer vault data), z zaszyfrowanego kontenera magazynowego, który jest przechowywany w zastrzeżonym formacie binarnym, zawierającym zarówno niezaszyfrowane dane, takie jak adresy URL stron internetowych, jak i w pełni zaszyfrowane wrażliwe pola, takie jak nazwy użytkowników i hasła stron internetowych, bezpieczne notatki i wypełnione formularze”.
Okazuje się jednak, że nie wszystko zostało stracone. Prezes LastPass przekazuje, że wszystkie te informacje są zabezpieczone za pomocą 256-bitowego szyfrowania AES. Mogą być odczytane wyłącznie za pomocą unikalnego klucza, który jest zawarty w haśle głównym (master password), które każdy z użytkowników ustalał na początku przygody z omawianym menadżerem haseł. Wspomniane hasło główne nie jest znane ani przechowywane przez LastPass, tym samym wiedzą o nim tylko i wyłącznie klienci usługi. „Szyfrowanie i deszyfrowanie danych odbywa się tylko na poziomie lokalnego klienta LastPass”.
Wygląda na to, że – przynajmniej w teorii – użytkownicy powinni czuć się bezpiecznie. Niestety nie tyczy się to osób, których hasło główne jest bardzo słabe. Wówczas przestępcy mogą wykorzystać atak typu brute force i ze sporym prawdopodobieństwem je złamać. Z tego względu ” jako dodatkowy środek bezpieczeństwa należy rozważyć zmianę haseł do stron internetowych, które zostały zapisane w LastPass”. Jeżeli jednak stosowaliśmy się do zasad tworzenia głównego hasła, które zostały podane w omawianym wpisie, to jego złamanie „zajęłoby miliony lat”. Więcej informacji znajdziemy na blogu LastPass.
Niektóre odnośniki na stronie to linki reklamowe.