LastPass-ը երկրորդ անգամ կոտրվել է երեք ամսվա ընթացքում։ Այն օգտագործվում է ավելի քան 30 միլիոն մարդ ամբողջ աշխարհում: Գաղտնաբառերի մենեջեր LastPass-ը խոստովանել է, որ հաքերները գողացել են օգտատերերի գաղտնաբառերի և այլ զգայուն տվյալների գաղտնագրված պատճենները, ներառյալ օգտատերերի վճարային հասցեները, հեռախոսահամարները և IP հասցեները: Սկզբում համակարգը կոտրել էին դեռ օգոստոսին, նոյեմբերի վերջին՝ դեկտեմբերի սկզբին, տեղեկություններ հայտնվեցին, թե ինչ տվյալներ են գողացվել, իսկ այժմ ընկերության բլոգը հրապարակել է մանրամասները։
Գաղտնաբառերի մենեջեր LastPass-ը կոտրվել է, ինչը շատ հաջող է ապացուցել հենց հաքերների համար, նրանց հաջողվել է հասնել օգտատիրոջ տվյալներին, սակայն դեռ հայտնի չէ, թե կոնկրետ ինչ։ Հավանական է, որ այժմ նրանց հասանելի են գաղտնաբառերը, որոնք ծառայության օգտատերերը պահում են իրենց պրոֆիլներում:
LastPass-ի կոտրման և օգտատերերի տվյալների խախտման մասին տեղեկությունը հաստատել են նաև հենց ծառայության ներկայացուցիչները։ Այնուամենայնիվ, նրանք խնամքով թաքցնում են և՛ արտահոսքի չափը, և՛ տեղեկատվության բնույթը, որը հայտնվել է հարձակվողների ձեռքում, ուստի առայժմ LastPass-ի բոլոր օգտատերերն առանց բացառության, որոնք միլիոնավոր մարդիկ են ամբողջ աշխարհում, վտանգի տակ են: EarthWeb պորտալի տվյալներով՝ 2022 թվականի հոկտեմբերի դրությամբ LastPass-ի օգտատերերի բազան կազմում էր 33 միլիոն մարդ։
Նյութի թողարկման պահին LastPass-ի ներկայացուցիչները չեն հաստատել, բայց չեն հերքել օգտատերերի գաղտնաբառերի արտահոսքը, որոնք գտնվում են իրենց անձնական առցանց պահեստում: Սակայն հաքերային հարձակման հենց այդպիսի արդյունքի վտանգ կա։ Բացի այդ, հաշվի առնելով այն հանգամանքը, որ LastPass-ը իր գոյության 14 տարիների ընթացքում թույլ է տվել գաղտնաբառերի արտահոսքը մեկից ավելի անգամ, այս դեպքում ռիսկը մեծ է։
Ինչ պետք է անեմ?
Առաջին բանը, որ օգտատերերը պետք է անեն՝ տեսնելն է, թե որ գաղտնաբառերն են պահվում ամպի մեջ և հնարավորինս արագ փոխել դրանք, նախքան հարձակվողները հատուկ կհասնեն դրանց: Շատ մարդիկ, օրինակ, նման մենեջերներում պահպանում են գաղտնաբառերը ինտերնետ բանկից կամ կորպորատիվ էլ.
Երկրորդ քայլը, եթե ոչ LastPass-ի փոխարինող, ապա գոնե պահուստային գաղտնաբառի կառավարիչ գտնելն է այն մարդկանցից, որոնք աշխատում են անցանց: Նման ծրագրերը պահում են գաղտնաբառերի բազան անմիջապես օգտատիրոջ սարքի վրա (հաճախ կոդավորված ձևով), ինչը զգալիորեն նվազեցնում է դրա բովանդակության արտահոսքի ռիսկը։
Գաղտնաբառերի կառավարիչները թույլ են տալիս օգտվողներին պահել իրենց օգտանունները և գաղտնաբառերը տարբեր կայքերում մեկ տեղում՝ հասանելի օգտատիրոջ կողմից ստեղծված գլխավոր գաղտնաբառով: Last Pass-ը չի պահում կամ ցրում հիմնական գաղտնաբառը: Այլ գաղտնագրված տվյալներ կարող են առբերվել միայն «օգտագործողի հիմնական գաղտնաբառից ստացված եզակի գաղտնագրման բանալիով»: Այնուամենայնիվ, ընկերությունը զգուշացրել է հաճախորդներին, որ նրանք կարող են դառնալ սոցիալական ինժեներիայի, ֆիշինգի և տեղեկատվություն ստանալու այլ մեթոդների զոհ: Բացի այդ, հաքերները կարող են օգտագործել կոպիտ ուժային հարձակում՝ հիմնական գաղտնաբառը ստանալու և գաղտնագրված պահեստում գտնվող այլ տվյալների վերծանման համար: Այնուամենայնիվ, LastPass-ը պնդում է, որ հարձակվողներից «միլիոնավոր տարիներ» կպահանջվեն՝ գուշակելու համար գաղտնաբառը՝ օգտագործելով հանրությանը հասանելի հաքերային տեխնիկան:
Ընկերությունը հայտնել է, որ Mandiant ընկերությունը, որը կիբերանվտանգություն է ապահովում, հետաքննում է միջադեպը, և որ LastPass-ն ինքն ամբողջությամբ վերակառուցում է ամբողջ աշխատանքային միջավայրը, ինչը անուղղակիորեն ցույց է տալիս, որ հաքերները ստացել են կոդի և այլ տվյալների զգալի մասեր:
LastPass-ը նաև ասաց, որ հետաքննությունը շարունակվում է, և ընկերությունը դեպքի մասին ծանուցել է իրավապահներին և համապատասխան կարգավորող մարմիններին։ Նա ինքը օգտատերերին խորհուրդ է տալիս հիմնական գաղտնաբառը դարձնել 12 նիշից ոչ պակաս, փոխել գաղտնաբառի վրա հիմնված բանալիների ստացման ֆունկցիայի (PBKDF2) բանալիների ստեղծման ստանդարտի կարգավորումները և, իհարկե, չօգտագործել հիմնական գաղտնաբառը այլ կայքերում: Տրված են ավելի մանրամասն ընթացիկ առաջարկություններ ծառայության բլոգում.
Դուք կարող եք օգնել Ուկրաինային պայքարել ռուս զավթիչների դեմ։ Դա անելու լավագույն միջոցը Ուկրաինայի զինված ուժերին միջոցների նվիրաբերումն է Savelife կամ պաշտոնական էջի միջոցով NBU.