Hakerzy zaatakowali popularny program. Wyciekły zaszyfrowane hasła

Katarzyna Florencka
24 grudnia 2022, 14:49 • 1 minuta czytania
Dzięki menedżerom haseł mieliśmy spać w spokoju, wiedząc, że nasze konta w internecie są bezpiecznie. Niestety, popularny program LastPass zawiódł w tej materii. Co zrobić, jeśli byliśmy jego użytkownikami?
Hakerzy zaatakowali menedżera haseł LastPass Fot. Pexels / EVG Kowalievska
Więcej ciekawych artykułów znajdziesz na stronie głównej

Włamanie do LastPass

Popularny menedżer haseł LastPass już po raz drugi w tym roku poinformował o tym, że padł ofiarą cyberprzestępców. Przy pierwszym ataku, który miał miejsce w sierpniu, cyberprzestępcy zdobyli dostęp do środowiska programistycznego platformy, część kodu źródłowego i niektóre informacje techniczne. Firma podkreślała wówczas, że dane użytkowników są bezpiecznie.

Na takie zapewnienie nie może się zdobyć tym razem: łupem hakerów padły bowiem pliki z infrastruktury LastPass, co oznacza, że atakujący mogą mieć dostęp do adresów email użytkowników, ich nazwisk, zaszyfrowanych haseł czy niezaszyfrowanych pól (np. adresów URL). W kontekście tych doniesień jasne jest też, że poprzedni atak nie był tak niewinny, jak przekonywało LastPass: najnowsza kradzież była możliwa dzięki danym zdobytym w sierpniu 2022 roku. 

Co zrobić, jeśli korzystaliśmy z menedżera haseł LastPass?

O ataku poinformował m.in. CERT Polska, czyli zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie. Oprócz ostrzeżenia, eksperci CERT przygotowali również zestaw wskazówek dla osób, które stały się ofiarami wycieku danych z LastPass.

Jak podkreślają, na tym etapie trudno jest powiedzieć, jaki był cel ataku, natomiast dane te mogę zostać wykorzystane np. podczas kampanii phishingowych. "To jak bardzo jesteście narażeni na konsekwencje, zależy m.in. od złożoności głównego hasła" – tłumaczą eksperci.

Co więc należy zrobić, aby zminimalizować negatywne konsekwencje ataku? Przede wszystkim naszym pierwszym działaniem powinna być zmiana haseł. Istotne jest zwłaszcza uaktualnienie haseł newralgicznych, np. do bankowości internetowej, poczty czy serwisów społecznościowych – przejęcie naszej tożsamości w tych miejscach może spowodować dla nas spore kłopoty.

Drugą rzeczą, o której powinniśmy pamiętać, jest uruchomienie uwierzytelniania dwuskładnikowego, najlepiej w postaci U2F w każdym miejscu, w którym jest to możliwe. Konieczność potwierdzenia naszej tożsamości nie tylko loginem i hasłem, ale też dodatkowym kodem z SMS-a czy kluczem USB, powinno powstrzymać przed włamaniem większość zwykłych cyberprzestępców.

Eksperci zalecają również, aby zadbać o złożoność swojego głównego hasła, np. poprzez stworzenie hasła składającego się z pełnego zdania. Innymi polecanymi przez speców sposobami na stworzenie silnego hasła, jest zbudowanie go z opisu sceny, która jest dla nas łatwa do zapamiętania i opisania lub po prostu wykorzystanie przy tworzeniu naszego nowego hasła kilku języków.