LastPass xác nhận tin tặc đã đánh cắp kho mật khẩu được mã hóa... Bốn tháng trước

Theo dõi tất cả mật khẩu của chúng tôi là một điều khó khăn, đặc biệt là vì việc sử dụng lại chúng trên nhiều tài khoản là một cách làm không tốt, chúng cũng phải mạnh và khó đoán. Giải pháp tốt nhất của chúng tôi là sử dụng trình quản lý mật khẩu, bằng cách này, chúng tôi có thể nhận được mật khẩu mạnh và khó đoán, đồng thời tránh được rắc rối khi ghi nhớ tất cả chúng (điều mà tôi không thể nhớ), tất cả chúng đều ở một nơi, nhưng điều gì sẽ xảy ra nếu trình quản lý mật khẩu của bạn bị vi phạm bảo mật và kho mật khẩu của bạn bị rò rỉ? Điều đó đã xảy ra bốn tháng trước, và bây giờ họ mới nói với bạn.

Tóm tắt nhanh về những gì đang xảy ra

Ngày 25 tháng 8 năm 2022

LastPass đã đăng một ghi chú chính thức rằng họ đã nhận thấy một hoạt động bất thường hai tuần trước đó và bắt đầu điều tra nó, nhưng không có bằng chứng về việc truy cập vào bất kỳ dữ liệu khách hàng nào. Rõ ràng, kẻ tấn công chỉ có quyền truy cập vào một phần mã nguồn thông qua môi trường phát triển.

Ngày 15 tháng 9 năm 2022

Họ đã hoàn thành cuộc điều tra và pháp y với nhóm Mandiant , sau khi kết thúc cuộc điều tra, họ kết luận rằng hoạt động của những kẻ tấn công chỉ giới hạn trong khung thời gian 4 ngày vào tháng 8 và nhóm đã nhanh chóng ngăn chặn sự cố.

Cũng theo điều tra của họ, vi phạm đã xảy ra trong môi trường phát triển, về mặt kỹ thuật không có quyền truy cập vào kho dữ liệu hoặc mật khẩu của khách hàng.

Ngay cả khi có quyền truy cập vào kho mật khẩu được mã hóa của người dùng, không thể làm gì nếu không có mật khẩu chính của người dùng, đây là một phần của mô hình bảo mật không có kiến thức của họ (mặc dù vậy, hãy ghi nhớ câu cuối cùng)

Ngày 30 tháng 11 năm 2022

Là một phần của cam kết minh bạch, họ đã thêm một bản cập nhật cho tình huống vi phạm, nói rằng họ đã nhận thấy hoạt động bất thường trên dịch vụ lưu trữ đám mây của bên thứ ba, được cả LastPass và GoTo chia sẻ, đồng thời, một lần nữa, họ đã tiến hành một cuộc điều tra với Mandiant đội.

Lần này, họ tuyên bố rằng vụ vi phạm xảy ra vào tháng 8 thực sự đã cho phép kẻ tấn công truy cập vào “các yếu tố nhất định” của thông tin khách hàng, nhưng một lần nữa, tất cả các mật khẩu đều an toàn do mô hình bảo mật không kiến thức của chúng.

Chuyện gì đang xảy ra vào lúc này vậy?

Hôm nay là ngày 22 tháng 12 năm 2022, LastPass ra mắt công chúng để thông báo rằng, do vi phạm an ninh vào tháng 8, kẻ tấn công đã có thể lấy được thông tin nhận dạng cá nhân, bao gồm tên công ty, tên người dùng cuối, email, địa chỉ thanh toán, số điện thoại và địa chỉ IP, cũng như chờ đợi, Password Vaults . 🤯

Theo LastPass, kho mật khẩu của bạn hoàn toàn an toàn và không thể bị bẻ khóa, vì bạn đã tuân theo tất cả các nguyên tắc của họ để bảo mật việc tạo mật khẩu chính.

Tại thời điểm này, không có bằng chứng nào cho thấy bất kỳ dữ liệu thẻ tín dụng không được mã hóa nào đã bị rò rỉ, tại thời điểm này, tôi lo ngại vì họ mất 4 tháng để công khai thông tin rằng kho PII và mật khẩu nằm trong tay những kẻ tấn công.

Bạn có thể kiểm tra toàn bộ Thông báo về sự cố tại đây

Mật khẩu của tôi an toàn đến mức nào?

Nếu bạn đã làm theo toàn bộ hướng dẫn của LastPass để tạo mật khẩu, có lẽ bạn đã an toàn, những kẻ tấn công sẽ bắt đầu sử dụng từ điển gồm hàng tỷ mật khẩu đã bị rò rỉ (từ điển RockYou2021 có 8,4 tỷ mật khẩu đáng kinh ngạc) để tăng tốc quá trình.

Những kẻ tấn công cũng có thể cố gắng brute-force mật khẩu của bạn, nhưng nếu bạn nghĩ rằng chúng sẽ mất nhiều thời gian thì hãy nghĩ lại. Khi công nghệ phát triển, nó cũng giảm thời gian bẻ khóa mật khẩu, khoảng cách giữa RTX 3090 và RTX 4090 gần như gấp đôi đối với hầu hết mọi thuật toán.

Bạn có thể tự hỏi sau đó mất bao nhiêu thời gian, liệu ai đó có thể bẻ khóa một mật khẩu phức tạp không, ai đó đã thực sự kiểm tra điều đó bằng phần cứng mới nhất, họ đã sử dụng giàn 8 thẻ RTX 4090 và có thể bẻ khóa mật khẩu 8 chữ số cực kỳ phức tạp trong 48 phút sử dụng Hashcat, theo bài báo BitDefender này.

Vì vậy, để chắc chắn hơn rằng tài khoản của bạn được an toàn, bạn nên thay đổi tất cả mật khẩu tài khoản mà bạn đã lưu trữ trong LastPass, bao gồm cả mật khẩu chính của bạn.