Usługa LastPass, wraz z towarzyszącymi jej aplikacjami, jest jednym z najczęściej wybieranych rozwiązań do zapisywania i ochrony haseł. Okazuje się, że niektórzy użytkownicy mogli doświadczyć próby włamania.
Ataki na użytkowników LastPass
Menedżery haseł stały się ostatnio naprawdę popularne, co raczej nie powinno nikogo dziwić. W dobie setek usług, które wymagają założenia konta, a więc podania loginu i hasła, narzędzia służące do przechowywania i wygodnego wprowadzania danych logowania są naprawdę przydatne. Co więcej, często uważane są za naprawdę bezpieczne.
Oczywiście wiele menedżerów haseł cechuje się wysokim poziomem bezpieczeństwa, ale nie oznacza to, że ich użytkownicy przebywają w twierdzy, której nikt nie może zdobyć. Potwierdzają to najnowsze rewelacje związane z LastPass.
Na forum Hacker News zaczęło przybywać skarg użytkowników LastPass, którzy wskazują, że istnieje ryzyko przeprowadzenia na nich ataku. Dokładniej ich główne hasło w menedżerze haseł mogło wyciec.
Warto zauważyć, że niekoniecznie winne są zabezpieczenia stosowane przez twórców LastPass. Z komentarzy można wyciągnąć wzorzec, według którego poszkodowani użytkownicy używali mocno podobnych lub identycznych danych logowania do innych usług lub przez długi okres nie zmieniali hasła do menedżera haseł. Niewykluczone więc, że dane pochodzącą tak naprawdę z zupełnie innej bazy lub z wycieku, który miał miejsce wcześniej.
Co ciekawe, niektórzy twierdzą, że mimo ustawienia nowego hasła, wciąż doświadczali prób logowania na ich konto. Ataki były przeprowadzane z różnych lokalizacji.
Próby ataków zostały oficjalnie potwierdzone
Zespół LastPass, w odpowiedzi udzielonej serwisowi AppleInsider, poinformował, że faktycznie doszło do prób przejęcia danych użytkowników. Twórcy menedżera haseł twierdzą, że mogły zostać przeprowadzone ataki typu credential stuffing, które polegają na wykorzystaniu danych uwierzytelniających zdobytych w serwisach i usługach innych firm.
Meghan Larson, rzecznika LastPass, dodała, że obecnie nie zauważono, aby atakujący z sukcesem uzyskali dostęp do kont lub udało im się wykonać inne naruszenia, mogące poważnie zagrażać bezpieczeństwu usługi. Mimo to firma zamierza na bieżąco monitorować całą sytuację i w razie konieczności podjęte zostaną odpowiednie kroki.
Twórcy menedżera haseł wskazują jeszcze, że część z powiadomień o próbach logowania została wysłana przez błąd systemu. Na szczęście zostały już wprowadzone zmiany, które powinny pomóc w uniknięciu podobnych sytuacji w przyszłości. Należy jednak pamiętać, że nie dotyczy to wszystkich prób przechwycenia danych użytkowników.
Co należy zrobić? Jeśli korzystamy z tego samego hasła w innych usługach lub nie zmienialiśmy danych logowania przez długi okres, to zaleca się zmianę głównego hasła w LastPass. Oczywiście pamiętajmy, aby nie popełnić ponownie tego samego, naprawdę przerażającego błędu, polegającego na korzystaniu z identycznego hasła w różnych usługach.