Po įsilaužimo „LastPass“ tinklaraščio įraše buvo paskelbta, kad pirminis tyrimas parodė, jog nors įsilaužėliai gavo prieigą prie paslaugos kūrimo aplinkos, „nėra jokių įrodymų, kad šis incidentas būtų susijęs su kokia nors prieiga prie klientų duomenų ar užšifruotų slaptažodžių saugyklų“.
Nuo rugpjūčio „LastPass“ savo tinklaraštyje paskelbė tris įrašus. Naujausiame, paskelbtame gruodžio 22 d., atskleista, kad įsilaužėliai galėjo gauti prieigą prie „klientų duomenų atsarginių kopijų saugyklos“.
Tai apima „tiek nešifruotus duomenis – pavyzdžiui, svetainių URL adresus – tiek pilnai užšifruotus duomenis – pavyzdžiui, svetainių vartotojų vardus ir slaptažodžius, saugos užrašus ir automatinių formų užpildymo duomenis“, pranešama tinklaraščio įraše.
Tačiau kaip priduriama, šie duomenys buvo užšifruoti ir „gali būti iššifruoti tik naudojant unikalų šifravimo raktą, gaunamą iš kiekvieno vartotojo pagrindinio slaptažodžio, naudojant mūsų „Zero Knowledge“ architektūrą“.
Pagrindinių „LastPass“ vartotojų slaptažodžių bendrovė nesaugo ir netvarko, jie nėra žinomi ir pačiai bendrovei.
Ar galėjo įsilaužėliai patekti į „LastPass“ slaptažodžius ir duomenis?
Nors „LastPass“ naudoja mažiausiai 12 simbolių pagrindinį slaptažodį, į kurį įeina simboliai, skaičiai ir didžiosios raidės, įsilaužėliai galėtų bandyti iššifruoti duomenis naudodami vadinamąją grubios jėgos ataką (angl. bruteforce), t. y. pasitelkę programinę įrangą, kuri spėlioja kombinacijas tol, kol jas teisingai atspėja.
„LastPass“ teigia, kad jei jos klientai naudoja numatytuosius pagrindinio slaptažodžio nustatymus, „kad norint atspėti [vartotojų] pagrindinį slaptažodį naudojant visuotinai prieinamas slaptažodžių nulaužimo technologijas, prireiktų milijonų metų“.
Ką „LastPass“ klientai turėtų daryti dėl pažeidimo?
Pasak „LastPass“, „šiuo metu nėra jokių rekomenduojamų veiksmų, kurių reikėtų imtis“ – jei klientai naudoja numatytuosius nustatymus.
Tačiau paslaugos vystytojai priduria, kad tie, kurie nenaudoja numatytųjų nustatymų, turėtų apsvarstyti galimybę pakeisti savo paskyrose saugomus slaptažodžius.
„LastPass“ taip pat pabrėžia, kad niekada nesiunčia el. laiškų ir nesikreipia į vartotojus, prašydama pateikti slaptažodžių informaciją – o tai dabar gali bandyti daryti įsilaužėliai.
Parengta pagal „Mashable“.
