Provala LastPassa iz 2022. objašnjena: šta je ukradeno, šta to znači i kako preći na drugo rješenje
U augustu / novembru 2022., napadači su izvukli LastPass cloud rezervne kopije, uključujući šifrovane korisničke trezore plus nešifrovane metapodatke. Evo šta je dokumentovano i šta učiniti sada ako još uvijek imate LastPass nalog.
Dokumentovana hronologija
Prema objavljenim obavještenjima o incidentima od LastPassa: u augustu 2022., napadači su kompromitovali mašinu jednog LastPass developera i pristupili izvornom kodu. U novembru 2022., napadači su upotrijebili vjerodajnice iz augustovskog incidenta za pristup cloud rezervnim kopijama u LastPassovom cloud skladištu trećeg lica. Te rezervne kopije sadržavale su šifrovane trezore klijenata plus nešifrovane metapodatke — URL-ove trezora, email adrese naloga, podatke o naplati. LastPass je objavio krađu podataka 22. decembra 2022. (blog.lastpass.com/posts/notice-of-recent-security-incident).
Šta šifrovanje zapravo štiti
LastPass trezori su šifrovani sa AES-256, pri čemu je ključ izveden iz master lozinke putem PBKDF2. Snaga zaštite zavisi od (a) entropije master lozinke i (b) broja PBKDF2 iteracija. Zadani broj PBKDF2 iteracija LastPassa bio je 5.000 za stare naloge prije nego što je 2018. povećan na 100.100. Nalozi kreirani prije 2018. možda još uvijek imaju niske brojeve iteracija osim ako ih korisnik nije ručno nadogradio — obavještenja o incidentima LastPassa to dokumentuju. Slaba master lozinka sa niskim brojem iteracija može se probiti grubom silom van mreže; jaka master lozinka sa 100.100+ iteracija ne može, sa trenutnim hardverom.
Šta učiniti ako imate ili ste imali LastPass nalog
Korak 1: Izvezite svoj LastPass trezor iz web konzole (Settings → Advanced Options → Export). Korak 2: Uvezite ga u Bitwarden ili 1Password (oba imaju direktne LastPass uvoznike dokumentovane na bitwarden.com/help/import-from-lastpass i 1password.com/help). Korak 3: Promijenite lozinke na svakom nalogu sa visokom cijenom otkrivanja — finansijski, email, primarni društveni mediji. Korak 4: Omogućite 2FA na svakom nalogu koji ga podržava. Korak 5: Obrišite LastPass nalog iz web konzole. Ako je vaša master lozinka bila jaka (12+ nasumičnih znakova ili fraza za prolaz od 6+ riječi), šifrovani trezor je računarski siguran; rotacija je mjera predostrožnosti. Ako je vaša master lozinka bila slaba, tretirajte naloge visoke vrijednosti kao kompromitovane.
Zašto je provala pogodila cijelu kategoriju menadžera lozinki, a ne samo LastPass
Provala LastPassa potaknula je sigurnosne istraživače da pažljivije razmotre arhitektonske izbore u cijeloj kategoriji. Dvije konkretne spoznaje: (1) Brojevi iteracija šifrovanja nisu svi jednaki — razlika između 5.000 i 100.100 PBKDF2 iteracija je velika. Argon2id (moderna KDF koju koriste Bitwarden i drugi) je ponovo materijalno jača. (2) Izlaganje metapodataka (URL-ovi naloga, email adrese) je stvarna šteta po privatnost čak i kada sadržaj trezora ostane šifrovan, jer metapodaci pomažu napadaču da prioritizuje mete. Moderni revidirani menadžeri ograničavaju metapodatke u sloju podataka u mirovanju.
Izvori
Zvanična obavještenja o incidentima od LastPassa: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass uvoznik: bitwarden.com/help/import-from-lastpass. Pomoć za 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Svim URL-ovima pristupljeno 2026-04-30.