חברת האם של שירות מנהל הסיסמאות, LastPass, שבסוף 2022 חשפה כי כספות הסיסמאות של כל שלה בסיס הלקוחות היה כעת בידי פושעים, הודיעה שמפתחות הצפנה לחלק ממוצריו האחרים היו גם נפגע.
מה זה אומר על המשתמשים שלו?
מה הייתה הפרת הנתונים של LastPass 2022?
ל-LastPass וללקוחותיה לא הייתה השנה הטובה ביותר ב-2022. באוגוסט הודיעה החברה בלשון המעטה פוסט בבלוג שפושעים ניגשו לסביבת הפיתוח של LastPass, לקוד המקור ולמידע טכני. השפה הייתה מרגיעה, והתייחסה ל"פעילות חריגה" ולאירוע כ"התפתחות". סעיף שאלות נפוצות הרגיע את הלקוחות שהכספות, הסיסמאות והסיסמאות הראשיות שלהם בטוחות, תוך ציון: "איננו ממליצים על כל פעולה בשם המשתמשים או המנהלים שלנו".
חודש לאחר מכן, לאחר חקירה בשיתוף עם Mandiant, הפוסט המקורי בבלוג עודכן, כדי לנחם עוד יותר את משתמשי LastPass שיש הייתה, "אין ראיה לכך שהתקרית הייתה כרוכה בגישה כלשהי לנתוני לקוחות או כספות סיסמאות מוצפנות", ומשתמשים נוספים פטרונים עם הכרה כי, "אירועי אבטחה מכל סוג מטרידים אך [אנו] רוצים להבטיח לך שהנתונים והסיסמאות האישיים שלך בטוחים ב- לְטַפֵּל."
עם זאת, בסוף נובמבר 2022, הבלוג עודכן שוב, בהודאה שהפולשים הצליחו להסתלק איתם, "מרכיבים מסוימים במידע של הלקוחות שלנו".
סוף כל סוף, בעדכון מדצמבר 2022, LastPass הייתה בבעלותה לעובדה שפושעים הצליחו לחדור את כספות הנתונים האישיים של מיליוני לקוחות, המכילות כתובות אתרים ושמות אתרים לא מוצפנים, וכן שמות משתמש וסיסמאות מוצפנים, יחד עם נתוני גיבוי כולל שמות לקוחות, כתובות ומספרי טלפון, כתובות דואר אלקטרוני, כתובות IP וכרטיס אשראי חלקי מספרים.
שוב, LastPass ביקש להכיל את הפגיעה במוניטין, וקבע כי "ייקח מיליוני שנים לנחש את סיסמת האב שלך באמצעות טכנולוגיית פיצוח סיסמאות זמינה בדרך כלל."
יותר גרוע לבוא עבור משתמשי LastPass?
LastPass הוא חברה עצמאית, בבעלות GoTo (ספק SaaS, הידוע בעבר בשם LogMeIn), ובעוד שהפרת LastPass צברה הכי הרבה שימו לב, החדירה הראשונית הייתה של שירות אחסון ענן של צד שלישי, המשמש גם את GoTo וגם מעבר אחרון. כמו LastPass נפרץ, כך גם GoTo. שחקני איומים הצליחו לסנן גיבויים מוצפנים משתי החברות.
ב-23 בינואר 2023, GoTo פרסמה הצהרה בבלוג שלה בהצהרה כי יש לה "הוכחות לכך ששחקן איום הוציא מפתח הצפנה עבור חלק מהגיבויים המוצפנים", ובנוסף לכך הגדרות אימות רב-גורמי (MFA). של תת-קבוצה קטנה מהלקוחות שלהם הושפעו.
המשמעות היא שהפושעים יכולים לפענח בקלות את הסחורה הגנובה שלהם מבלי להמתין מיליוני שנים כדי לעשות זאת.
לא בטוח אם גם מפתחות ההצפנה לכספת LastPass הוצאו.
דיווחים על פגיעה בכספות LastPass
כמעט מיד עם פרסום העדכון של דצמבר, הקוראים יצרו קשר עם MUO בטענה שסיסמאות חד פעמיות מאוחסנים רק בכספות LastPass שימשו פושעים כדי לגשת לחשבונות מקוונים, וכתוצאה מכך החלפת SIM התקפות.
בטוויטר, משתמשים דיווחו כי ארנקי קריפטו הותקפו והתרוקנו מתוכנם - לפי הדיווחים, הזרעים הללו אוחסנו אך ורק בכספות של LastPass.
עד כה, LastPass לא התייחסה לשמועות הללו, וגם לא לגילויים של חברת האם שלה.
GoTo לפחות התחילה ליצור קשר עם משתמשים מושפעים וכל הסיסמאות אופסו אוטומטית.
שנה את הסיסמאות שלך לכל דבר
שירותי ניהול סיסמאות קיימים כדי לשמור על הסיסמאות שלך בטוחות ובלתי ניתנות לניחוש. אם לפושעים יש את המפתחות לכספת הזו, הסיסמאות שלך הן של כל אחד ואחת לשימוש כרצונו.
הדבר הראשון שעליך לעשות הוא לשנות את הסיסמאות שלך עבור כל שירות שאי פעם ניגשת אליו באינטרנט. במידת האפשר, עליך להשתמש גם בשם משתמש וכתובת דוא"ל ייחודיים.
זה אף פעם לא רעיון טוב להפקיד את הסודות העמוקים ביותר שלך כדי שמישהו אחר ישמור עליו. BitWarden הוא מנהל סיסמאות שתוכלו לארח בחומרה שלכם, ואשר יפיק שמות משתמש, כינויי דוא"ל וסיסמאות עבור כל אתר בו תבקרו. בזמן שאתה מפעיל אותו במחשב שלך, אתה לא צריך להשאיר את הסיסמאות שלך לטיפול המפוקפק של חברה אחרת.
