Personlige detaljer og passordhvelv som inneholder påloggingsinformasjonen til millioner av brukere er nå i hendene på kriminelle. Hvis du noen gang har brukt passordbehandleren, LastPass, bør du endre alle passordene dine for alt nå. Og du bør umiddelbart ta ytterligere tiltak for å beskytte deg selv.
Hva skjedde i 2022 LastPass-databruddet?
LastPass er en passordadministrasjonstjeneste som opererer på en "freemium"-modell. Brukere kan lagre alle sine passord og pålogginger for nettjenester med LastPass, og få tilgang til dem via nettgrensesnittet, gjennom nettlesertillegg og gjennom dedikerte smarttelefonapper.
Passord lagres i "hvelv", som er beskyttet av et enkelt hovedpassord.
I august 2022 kunngjorde LastPass at kriminelle hadde brukt en kompromittert utviklerkonto for å få tilgang til LastPass utviklingsmiljø, kildekode og teknisk informasjon.
Ytterligere detaljer ble utgitt i november 2022, da LastPass la til at noen kundedata var blitt avslørt.
Den sanne alvorlighetsgraden av bruddet ble avslørt 22. desember, da en LastPass blogginnlegg bemerket at kriminelle hadde brukt noe av informasjonen innhentet i det tidligere angrepet for å stjele sikkerhetskopidata inkludert kundenavn, adresser og telefonnumre, e-postadresser, IP-adresser og delvis kredittkort tall. I tillegg klarte de å stjele brukerpassordhvelv som inneholder ukrypterte webadresser og nettstedsnavn, samt krypterte brukernavn og passord.
Er det vanskelig for kriminelle å knekke LastPass-hovedpassordet ditt?
Teoretisk sett, ja, hackere burde finne det vanskelig å knekke hovedpassordet ditt. LastPass-blogginnlegget bemerker at hvis du bruker standard anbefalte innstillinger, "ville det ta millioner av år å gjette hovedpassordet ditt ved å bruke generelt tilgjengelig passord-cracking-teknologi."
LastPass krever at hovedpassordet skal være på minimum 12 tegn, og anbefaler "at du aldri gjenbruker hovedpassordet ditt på andre nettsteder."
LastPass er imidlertid unik blant passordadministrasjonstjenester ved at den lar brukere angi et passordhint for å minne dem om hovedpassordet deres dersom de skulle miste det.
Dette oppfordrer effektivt brukere til å bruke ord og uttrykk i ordboken som en del av passordet, i stedet for et virkelig tilfeldig sterkt passord. Ingen passordtips vil hjelpe hvis passordet ditt er "lVoT=.N]4CmU".
LastPass passordhvelvene har vært i hendene på kriminelle en stund nå, og selv om de er kryptert, vil de til slutt bli utsatt for brute force-angrep.
Angripere vil finne arbeidet sitt lettere takket være eksistensen av massive databaser med ofte brukte passord. Du kan laste ned en 17 GB passordliste som inneholder de 613 millioner vanligste passordene fra haibeenpwned, for eksempel. Andre passord- og påloggingslister er tilgjengelige på det mørke nettet.
Å prøve hver av de halv milliarden vanligste nøklene mot et individuelt hvelv ville ta minutter, og selv om det er relativt få ville være de nødvendige 12 tegnene, er det sannsynlig at nettkriminelle lett vil kunne bryte seg inn i en god del av hvelv.
Legg til det at datakraften øker år for år, og at motiverte kriminelle kan bruke distribuerte nettverk for å hjelpe til med innsatsen; "millioner av år" virker ikke gjennomførbart for de fleste kontoer.
Påvirker LastPass-bruddet bare passord?
Selv om hovednyhetene er at kriminelle kan ta seg tid til å bryte seg inn i LastPass-hvelvet ditt, kan de dra nytte av av deg på andre måter ved å bruke navn, adresse, telefonnummer, e-postadresse, IP-adresse og delvis kredittkort Antall.
Disse kan brukes til en rekke ondsinnede formål, inkludert spearphishing-angrep mot deg og kontaktene dine, identitetstyveri, ta opp kreditt og lån i ditt navn, og SIM-bytteangrep.
Hvordan kan du beskytte deg selv etter LastPass datainnbrudd?
Du bør anta at i løpet av noen år vil hovedpassordet ditt bli kompromittert og alle passordene i vil være kjent for kriminelle. Du bør endre dem nå, og bruke unike passord du aldri har brukt før, og som ikke er i noen av de vanlig brukte passordlistene.
Med hensyn til de andre datakriminelle innhentet fra LastPass, du bør fryse kreditten din, og engasjere en kredittovervåkingstjeneste for å overvåke nye kort- eller lånesøknader i ditt navn. Hvis du klarer å endre telefonnummeret ditt uten for mye ulempe, bør du også gjøre det.
Ta ansvar for din egen sikkerhet
Det er lett å klandre LastPass for datainnbruddene som gjorde at passordhvelvene og personlige detaljer falt i hendene på kriminelle, men passordadministrasjonstjenester som sikrer livet ditt og hjelper deg med å generere unike kombinasjoner er fortsatt den beste måten å sikre deg på nettet liv.
En måte å gjøre det vanskeligere for potensielle tyver å få tak i de vitale dataene dine er å være vert for en passordbehandler på din egen maskinvare. Det er billig, enkelt å gjøre, og noen løsninger, for eksempel VaultWarden, kan til og med distribueres på en Raspberry Pi Zero.