Menadżer haseł to niezbędne oprogramowanie dla każdego, kto chce chronić bezpieczeństwa swoich kont internetowych. Dlatego też informacja, że LastPass został zhakowany, może budzić olbrzymie obawy. Czy są one jednak uzasadnione? Firma postanowiła wyjaśnić tę kwestię.
LastPass został zhakowany
LastPass to najpopularniejszy menadżer haseł jeśli pod uwagę weźmiemy tylko firmy skupiające się niemal wyłącznie na ich ochronie, czyli z pominięciem takich gigantów jak na przykład Google. Mowa tu o około 33 milionach użytkowników prywatnych i ponad 100 tysiącach klientów biznesowych – w tym korporacyjnych. Skala wycieku jest więc teoretycznie niezwykle poważna.
Wedle informacji podanych przez LastPass hakerzy wykradli kod źródłowy platformy oraz zastrzeżone informacje będące w większości dokumentacją techniczną serwisu. Mimo to firma twierdzi, że nie ma dowodów na to, że intruz uzyskał dostęp do zaszyfrowanych haseł użytkowników, skarbców lub innych danych.
LastPass wysłał e-mail do użytkowników, informując ich, że nieautoryzowana strona uzyskała dostęp do części środowiska programistycznego. Nietypowa aktywność została wykryta dwa tygodnie temu. Niepokojące jest więc to, że informacja o ataku upowszechniła się dopiero teraz. W takich sytuacjach czas działa raczej na niekorzyść klientów. Z drugiej strony mógłby to być impuls do zmiany dostawcy, czego firma wolała uniknąć. Firma wydała następujące oświadczenie:
Po wszczęciu natychmiastowego dochodzenia nie widzieliśmy żadnych dowodów na to, że ten incydent wiązał się z jakimkolwiek dostępem do danych klientów lub zaszyfrowanych skarbców haseł.
Mimo to należy pamiętać, że dobrą praktyką w takich sytuacjach jest zmiana haseł, nawet jeśli oficjalny komunikat firmy podważa sensowność takiego zabiegu, to LastPass został zhakowany i lepiej dmuchać na zimne. W końcu chodzi tu o bezpieczeństwo nasze i naszych danych. Warto także rozważyć obsługę uwierzytelniania dwuetapowego.
W takim wypadku jeśli zamierzamy wykorzystywać kod wysyłany na adres e-mail, to ten nie może być zabezpieczony hasłem, które przechowujemy w menadżerze, ponieważ ewentualny wyciek danych oznacza utratę dwóch stopni zabezpieczeń na raz. W ekstremalnych sytuacjach byłoby to gorsze, niż weryfikacja jednoetapowa.
Najlepszą metodą jest stosowanie fizycznego klucza, którego nie wykradnie nam żaden haker i jest on całkowicie odporny na cyberataki na serwery dostawcy. Nic jednak nie zastąpi ostrożności i rozsądku. Jeśli ich zabraknie, to nawet najlepsze zabezpieczenia mogą okazać się niewystarczające i dadzą jedynie złudne poczucie bezpieczeństwa. W końcu LastPass został zhakowany, a dla wielu był głównym zabezpieczeniem.
Źródło: TechSpot