קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

פרטים אישיים וכספות סיסמאות המכילות את אישורי הכניסה של מיליוני משתמשים נמצאים כעת בידי פושעים. אם אי פעם השתמשת במנהל הסיסמאות, LastPass, עליך לשנות את כל הסיסמאות שלך לכל דבר, עכשיו. ואתה צריך מיד לנקוט באמצעים נוספים כדי להגן על עצמך.

מה קרה בפרצת הנתונים של LastPass 2022?

LastPass הוא שירות ניהול סיסמאות הפועל במודל "freemium". משתמשים יכולים לאחסן את כל הסיסמאות והכניסות שלהם לשירותים מקוונים עם LastPass, ולגשת אליהם דרך ממשק האינטרנט, דרך תוספות לדפדפן ודרך אפליקציות ייעודיות לסמארטפון.

סיסמאות מאוחסנות ב"כספות", המוגנות באמצעות סיסמת אב אחת.

באוגוסט 2022, LastPass הודיעה כי פושעים השתמשו בחשבון מפתח שנפגע כדי לגשת לסביבת הפיתוח של LastPass, קוד מקור ומידע טכני.

פרטים נוספים פורסמו בנובמבר 2022, כאשר LastPass הוסיפה כי חלק מנתוני הלקוחות נחשפו.

חומרתה האמיתית של ההפרה נחשפה ב-22 בדצמבר, כאשר א פוסט בבלוג של LastPass ציין כי פושעים השתמשו בחלק מהמידע שהושג במתקפה הקודמת כדי לגנוב נתוני גיבוי כולל שמות לקוחות, כתובות ומספרי טלפון, כתובות דואר אלקטרוני, כתובות IP וכרטיס אשראי חלקי מספרים. בנוסף, הם הצליחו לגנוב כספות של סיסמאות משתמש המכילות כתובות אתרים ושמות אתרים לא מוצפנים, כמו גם שמות משתמש וסיסמאות מוצפנות.

instagram viewer

האם קשה לפושעים לפצח את סיסמת האב של LastPass שלך?

תיאורטית, כן, האקרים צריכים להתקשות לפצח את סיסמת המאסטר שלך. הפוסט בבלוג של LastPass מציין שאם תשתמש בהגדרות המומלצות כברירת מחדל, "ייקח מיליוני שנים לנחש את סיסמת האב שלך באמצעות טכנולוגיית פיצוח סיסמאות זמינה בדרך כלל."

LastPass דורש שסיסמת האב תהיה לפחות 12 תווים, וממליצה "לעולם לא תשתמש שוב בסיסמת האב שלך באתרים אחרים."

עם זאת, LastPass ייחודי בין שירותי ניהול סיסמאות בכך שהוא מאפשר למשתמשים להגדיר רמז לסיסמה כדי להזכיר להם את סיסמת האב שלהם אם יאבדו אותה.

למעשה, זה מעודד משתמשים להשתמש במילים וביטויים במילונים כחלק מהסיסמה שלהם, במקום בסיסמה חזקה אקראית באמת. שום רמז לסיסמה לא יעזור אם הסיסמה שלך היא "lVoT=.N]4CmU".

כספות הסיסמאות של LastPass נמצאות בידי פושעים כבר זמן מה, ולמרות שהן מוצפנות, הן בסופו של דבר להיות נתון להתקפות כוח גסות.

תוקפים ימצאו את עבודתם קלה יותר בזכות קיומם של מסדי נתונים מסיביים של סיסמאות נפוצות. אתה יכול להוריד רשימת סיסמאות של 17GB הכוללת את 613 מיליון הסיסמאות הנפוצות ביותר haveibeenpwned, לדוגמה. רשימות אחרות של סיסמאות ואישורים זמינות ברשת האפלה.

לנסות כל אחד מחצי מיליארד המפתחות הנפוצים ביותר מול כספת בודדת ייקח דקות, ולמרות שמעט יחסית יהיו 12 התווים הנדרשים, סביר להניח שפושעי סייבר יוכלו לפרוץ בקלות לחלק טוב של קמרונות.

הוסיפו לכך את העובדה שכוח המחשוב עולה משנה לשנה, ושפושעים חדורי מוטיבציה יכולים להשתמש ברשתות מבוזרות כדי לסייע במאמץ; "מיליוני שנים" לא נראה אפשרי עבור רוב החשבונות.

האם הפרת LastPass משפיעה רק על סיסמאות?

בעוד שהחדשות הראשיות הן שפושעים יכולים לקחת את הזמן שלהם לפרוץ לכספת LastPass שלך, הם יכולים לנצל שלך בדרכים אחרות באמצעות השם, הכתובת, מספר הטלפון, כתובת הדוא"ל, כתובת ה-IP וכרטיס האשראי החלקי שלך מספר.

אלה יכולים לשמש למספר מטרות מרושעות כולל התקפות חנית נגדך ונגד אנשי הקשר שלך, גניבת זהות, לקיחת אשראי והלוואות על שמך, והתקפות החלפת SIM.

כיצד תוכל להגן על עצמך לאחר הפרות הנתונים של LastPass?

אתה צריך להניח שתוך מספר שנים, סיסמת האב שלך תיפגע וכל הסיסמאות הכלולות בה יהיו ידועות לפושעים. עליך לשנות אותן כעת, ולהשתמש בסיסמאות ייחודיות שמעולם לא השתמשת בהן בעבר, ושאינן נמצאות באף אחת מרשימות הסיסמאות הנפוצות.

לגבי שאר עברייני הנתונים שהושגו מ-LastPass, אתה צריך להקפיא את האשראי שלך, ולהפעיל שירות ניטור אשראי כדי לעקוב אחר כל בקשת כרטיס או הלוואה חדשה על שמך. אם אתה יכול לשנות את מספר הטלפון שלך בלי יותר מדי אי נוחות, אתה צריך לעשות את זה גם.

קח אחריות על האבטחה שלך

קל להאשים את LastPass בפרצות הנתונים שגרמו לכספות הסיסמאות והפרטים האישיים שלך נפלו לידיהם של פושעים, אבל שירותי ניהול סיסמאות שמבטיחים את חייך ועוזרים לך ליצור שילובים ייחודיים הם עדיין הדרך הטובה ביותר לאבטח את המקוון שלך חַיִים.

דרך אחת להקשות על גנבים לעתיד להשיג את הנתונים החיוניים שלך היא לארח מנהל סיסמאות בחומרה שלך. זה זול, קל לביצוע, וחלק מהפתרונות, כמו VaultWarden, יכולים אפילו להיפרס על Raspberry Pi Zero.