Wykradziono hasła użytkowników LastPass. Hakerzy mogą mieć dostęp do wszystkich Twoich kont
Mamy ciąg dalszy ujawnionego w ubiegłym miesiącu włamania do menedżera haseł LastPass. Okazuje się, że hakerzy wykradli całe magazyny danych. Zabawne, że tak poważna kwestia zostaje ogłoszona kilka dni przed Świętami Bożego Narodzenia, kiedy większość działów IT jest w rezerwie.
Na początek omówmy fakty. Po nich przejdziemy do potencjalnych skutków włamania, a następnie do tego, czy możemy w tej sprawie ufać usługodawcy. Pierwszego grudnia informowaliśmy Was o włamaniu do LastPass, popularnego menedżera haseł. Twórcy zapewniali wtedy, że nie doszło do wykradzenia haseł, a przestępcom udało się jedynie dostać do pewnych informacji o użytkownikach. Wczoraj zaktualizowano rzeczoną informację o komunikat, który zmrozi krew w żyłach wielu osób.
Z LastPass wykradziono również hasła użytkowników do wszystkich witryn internetowych
Sprawa jest poważna. Atakujący wykradli kopie zapasowe zaszyfrowanych baz danych, w których znajdowały się hasła użytkowników wraz z przypisanymi adresami (bez szyfrowania). To fakty, o których informuje sam usługodawca. Co tak właściwie może się teraz stać?
Aby hakerzy mogli wykorzystać bazy danych z hasłami, konieczne jest złamanie hasła głównego. Jeśli użytkownik korzystał ze skomplikowanego ciągu niepowiązanych ze sobą znaków, najpewniej może spać spokojnie, choć nie w stu procentach. Problem pojawia się wtedy, gdy osoba ustawiła relatywnie prosty rekord. Wtedy odszyfrowanie może okazać się możliwe. W efekcie potencjalnego sukcesu przestępców może dojść do ujawnienia danych logowania do wszystkich serwisów, z których korzystał użytkownik usług LastPass.
Tutaj dochodzimy do sedna, czyli do kwestii zaufania. Nie możemy mieć pewności, że nasze dane (w tym przypadku hasła) przez inne podmioty, są w pełni bezpieczne. Dotyczy to wszystkiego, co trafia do sieci. Nasza komunikacja, nasze aktywności, hasła, loginy, zdjęcia, a nawet lokalizacja. Zawsze może dojść do wycieku, włamania lub zwyczajnego błędu ludzkiego. Sęk w tym, że usługodawcy mają obowiązek informować o naruszeniach. Tak też stało się w przypadku LastPass, natomiast prawdziwa skala incydentu wypływa dokładnie 21 dni po pierwszym ogłoszeniu. Dodatkowo, to chyba najgorszy z możliwych terminów na tego typu rewelacje. Spora część działów IT zwyczajnie przygotowuje się już do świąt i działa w ograniczonym trybie.
