Пробивът на LastPass от 2022 г. обяснен: Какво беше откраднато, какво означава и как да мигрирате
През август / ноември 2022 г. нападатели ексфилтрираха облачни резервни копия на LastPass, включително криптирани потребителски трезори плюс некриптирани метаданни. Ето какво е документирано и какво да направите сега, ако все още имате акаунт в LastPass.
Документирана хронология
Според публикуваните известия за инциденти на LastPass: през август 2022 г. нападатели компрометираха машината на разработчик на LastPass и получиха достъп до изходния код. През ноември 2022 г. нападателите използваха идентификационни данни от инцидента през август, за да получат достъп до облачни резервни копия в облачното хранилище на трета страна на LastPass. Тези резервни копия съдържаха криптирани клиентски трезори плюс некриптирани метаданни — URL адреси на трезори, имейл адреси на акаунти, информация за фактуриране. LastPass разкри кражбата на данни на 22 декември 2022 г. (blog.lastpass.com/posts/notice-of-recent-security-incident).
Какво всъщност защитава криптирането
Трезорите на LastPass са криптирани с AES-256, като ключът е извлечен от главната парола чрез PBKDF2. Силата на защитата зависи от (а) ентропията на главната парола и (б) броя итерации на PBKDF2. Стандартният брой итерации на PBKDF2 на LastPass беше 5000 за стари акаунти, преди да бъде увеличен на 100 100 през 2018 г. Акаунти, създадени преди 2018 г., може все още да имат нисък брой итерации, освен ако потребителят не го е надстроил ръчно — известията за инциденти на LastPass документират това. Слаба главна парола с нисък брой итерации може да бъде разбита чрез brute-force офлайн; силна главна парола със 100 100+ итерации не може, с настоящия хардуер.
Какво да направите, ако имате или сте имали акаунт в LastPass
Стъпка 1: Експортирайте вашия трезор на LastPass от уеб конзолата (Settings → Advanced Options → Export). Стъпка 2: Импортирайте го в Bitwarden или 1Password (и двата имат директни инструменти за импортиране от LastPass, документирани на bitwarden.com/help/import-from-lastpass и 1password.com/help). Стъпка 3: Сменете паролите на всеки акаунт с високи разходи при разкриване — финансови, имейл, основни социални мрежи. Стъпка 4: Активирайте 2FA на всеки акаунт, който го поддържа. Стъпка 5: Изтрийте акаунта в LastPass от уеб конзолата. Ако главната ви парола е била силна (12+ случайни знака или парола-фраза от 6+ думи), криптираният трезор е изчислително сигурен; ротацията е предпазна мярка. Ако главната ви парола е била слаба, третирайте акаунтите с висока стойност като компрометирани.
Защо пробивът засегна цялата категория на мениджърите на пароли, а не само LastPass
Пробивът на LastPass подтикна изследователите по сигурността да разгледат по-внимателно архитектурните решения в цялата категория. Две конкретни поуки: (1) Броят итерации на криптирането не е еднакъв за всички — разликата между 5000 и 100 100 итерации на PBKDF2 е голяма. Argon2id (модерната KDF, използвана от Bitwarden и други) е съществено по-силна отново. (2) Разкриването на метаданни (URL адреси на акаунти, имейл адреси) е реална вреда за поверителността, дори когато съдържанието на трезора остава криптирано, защото метаданните помагат на нападателя да приоритизира целите. Модерните одитирани мениджъри ограничават метаданните в слоя на данните в покой (data-at-rest).
Източници
Официални известия за инциденти на LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Инструмент за импортиране от LastPass на Bitwarden: bitwarden.com/help/import-from-lastpass. Помощ за 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Всички URL адреси са достъпени на 2026-04-30.