Karim Toubba, a LastPass vezérigazgatója augusztus 25-én közzétett tanácsában kijelentette, hogy egy illetéktelen fél ellopta a forráskód részei és néhány szabadalmaztatott LastPass technikai információ .” Ez azonban nem érintette az ügyfelek jelszavát vagy fiókját.

A jelszókezelő céget néhány hete feltörték 2022 egyik legnagyobb biztonsági megsértésével. A bennfentesek több hírügynökségnek is felfedtek néhány részletet, amelyek szerint az alkalmazottak a támadást követően igyekeztek megfékezni a támadást.



A LastPass-t két héttel ezelőtt feltörték; augusztus 25-én kiadott tájékoztató

Egy hacker két héttel ezelőtt behatolt a LastPass, GoTo (korábban LogMeIn, Inc) tulajdonában lévő jelszókezelőbe. A cég kezdeti vizsgálata szerint a behatolás csak a vállalat belső rendszereit tudta lefoglalni szoftverfejlesztés céljából.

Szerencsére az ügyfelek jelszavaira és adataira vonatkozó adatok nem érintettek. 2022. augusztus 25-én, csütörtökön a LastPass e-mailt küldött az ügyfeleknek a jogsértésről.



' Megállapítottuk, hogy egy jogosulatlan fél egyetlen feltört fejlesztői fiókon keresztül hozzáfért a LastPass fejlesztői környezet egyes részeihez, és elvette a forráskód egy részét és néhány szabadalmaztatott LastPass technikai információt. ” – áll az e-mailben.

' Nincs bizonyítékunk arra, hogy ez az incidens az ügyfelek adataihoz vagy titkosított jelszótárolókhoz való hozzáféréssel járt volna ” – tette hozzá.

A LastPass korlátozó és mérséklő intézkedéseket alkalmazott

Az adatvédelmi incidensre válaszul a LastPass „elzárási és mérséklő intézkedéseket vezetett be”. Ezenkívül egy vezető kiberbiztonsági céget is megbíztak a behatolás kivizsgálására. A cég közzétett egy GYIK annak megerősítése, hogy az összes LastPass termék és szolgáltatás megszakítás nélkül működik, és megfelelően működik.

A LastPass nem osztott meg más részleteket, mivel a jelszókezelő kriminalisztikai vizsgálatot kezdeményez. A fő aggodalom azonban továbbra is az, hogy az ellopott védett adatok utat engedhetnek a kiberbűnözőknek, hogy feltárják a vállalat működésében rejlő sebezhetőséget.

Egyelőre a cég GYIK-je azt írja, hogy a LastPass nem tárol információkat a „főjelszó”-ról, amellyel az ügyfelek a jelszókezelési szolgáltatásokon keresztül hozzáférnek fiókjukhoz.

Ehelyett a vállalat „nulla tudású titkosítási” mechanizmussal dolgozik, hogy feloldja a hozzáférést a felhasználói fiókokhoz. Ez azt jelenti, hogy a Mester jelszó csak az ügyfél eszközén és memóriájában tárolódik.

Hogyan védheti meg magát a LastPass adatszivárgás ellen?

Mivel a LastPass sehol nem tárolja a fő jelszót, és a „zéró tudás” modellt használja, nem kell aggódnia, ha Ön LastPass felhasználó. A vállalat azonban továbbra is aggódik, hogy megakadályozza a jövőbeni hackelési kísérleteket vagy kompromisszumokat.

A jelszókezelő GYIK-je is kijelenti: „Jelenleg nem javasolunk semmilyen műveletet a felhasználók vagy rendszergazdáink nevében.” Ha továbbra is aggódik, végrehajthat néhány általános intézkedést, például megváltoztathatja a fő jelszavát, és nem tárolhatja az eszközén.

A jelszó létrehozásához használjon erős ábécék és számok kombinációját is. Ne használjon véletlenszerű sorozatokat, például 12345678, vagy általános szavakat, mint például a neve vagy a tartózkodási helye. A nehezen feltörhető jelszó online használata manapság kötelező.

Változtassa meg LastPass fő jelszavát

A LastPass-fiókhoz tartozó fő jelszó egy többfunkciós kulcs, amely feloldja a hozzáférést a fiókjában található összeshez, beleértve az összes webhelyjelszót, biztonságos megjegyzéseket, űrlapkitöltési elemeket stb. Kövesse az alábbi lépéseket a LastPass főjelszó megváltoztatásához:

  • Indítson el egy webböngészőt, és keresse fel ez az oldal .
  • Most jelentkezzen be e-mail címével és fő jelszavával.
  • Ezután válassza a Fiókbeállítások lehetőséget a bal oldali navigációs panelen.
  • Az Általános lapon kattintson a „Fő jelszó módosítása” elemre.

  • Most adja meg jelenlegi fő jelszavát.
  • Ezután adjon meg egy új fő jelszót, és adjon meg egy jelszót.
  • Végül kattintson a „Mester jelszó mentése” gombra.

Miután visszaállította a fő jelszót, írja fel egy darab papírra golyóstollal, és tartsa biztonságos helyen. Ne dobja ki egy véletlenszerű fiókba vagy a matrac alá. A papírról másolat készítése is javasolt.

Tavaly a LastPass is szenvedett egy hitelesítő adattömeget

A LastPass tavaly egy hitelesítő adathalmaz támadást is szenvedett, amelynek eredményeként a fenyegetett szereplők hozzáfértek a fő jelszavakhoz. A cég megerősítette, hogy a fő jelszavakat hackerek lopták el. A behatolók a RedLine jelszólopó kártevőt is terjesztették a rendszereken.

A LastPass a következő közleményt adta ki a támadásra reagálva: Kezdeti megállapításaink alapján azt hittük, hogy ezek a riasztások a „hitelesítő adatok betömésére irányuló” kísérletre reagáltak, amikor is egy rosszindulatú vagy rosszindulatú szereplő harmadik szolgáltatótól kapott e-mail címek és jelszavak segítségével próbál hozzáférni felhasználói fiókokhoz (ebben az esetben a LastPasshoz). a felek egyéb nem kapcsolódó szolgáltatásokkal kapcsolatos jogsértései .”

' Gyorsan kivizsgáltuk ezt a tevékenységet, és jelenleg nincs arra utaló jelünk, hogy a LastPass-fiókokat illetéktelen harmadik fél feltörte volna a hitelesítő adatok kitöltési kísérletei következtében, és nem találtunk arra utaló jelet sem, hogy a felhasználó LastPass hitelesítő adatait rosszindulatú program gyűjtötte volna be. , szélhámos böngészőbővítmények vagy adathalász kampányok .”

Ezt megelőzően a LastPass biztonsági rést jelentett a Google Chrome bővítményében. Bár ez nem volt éppen szabálysértés, sok internetező aggódott a hír miatt.

A helyzet egyelőre a cég irányítása alatt áll. A további fejleményekről folyamatosan tájékoztatunk.