Co je největší můrou společnosti stojící za oblíbeným nástrojem pro správu hesel? Únik hesel… A přesně to se letos opět stalo službě Lastpass, která se však brání a poukazuje na fakt, že díky silnému šifrování jsou uživatelé stále v bezpečí. K čemu přesně došlo?

Aplikace a služba pro správu hesel Lastpass byla v srpnu 2022 hned dvakrát napadena hackery. Až minulý čtvrtek ale její zástupci přiznali, že poslední vniknutí bylo mnohem horší, než se původně uvádělo, a že útočníci si v řadě případů odnesli data uživatelů.

Hackeři získali hesla, ale zašifrovaná

„Během incidentu v srpnu 2022 nedošlo k přístupu k žádným údajům zákazníků,“ vysvětlil generální ředitel společnosti LastPass Karim Toubba. Nicméně část zdrojového kódu aplikace byla ukradena a následně použita ke spearphishingu (cílenému phishingu) na zaměstnance společnosti Lastpass, aby vydal své přístupové údaje, a poté tyto klíče útočníci použili k dešifrování a zkopírování „některých svazků úložiště v rámci služby cloudového úložiště“.

Správci hesel jsou cestou, jak bezpečně skladovat svá hesla. Rizika ale existují vždy. Foto: Unsplash

Mezi zašifrovanými údaji, které hackeři získali, byly základní informace o zákaznických účtech, jako jsou jména společností, fakturační, e-mailové a IP adresy a telefonní čísla… „Tato zašifrovaná pole zůstávají zabezpečena 256bitovým šifrováním AES a lze je dešifrovat pouze pomocí jedinečného šifrovacího klíče odvozeného z hlavního hesla každého uživatele pomocí naší architektury Zero Knowledge,“ uvedl Toubba. „Připomínáme, že hlavní heslo není službě LastPass nikdy známo a služba LastPass je neukládá.“

Bohužel pro Lastpass jsou podobné incidenty pro službu podobného zaměření nepřípustné a dá se očekávat, že uživatelé budou hledat alternativy. Zmínit lze např. oblíbený 1Password, Bitwarden či KeePass

Zdroj: Engadget