Η παραβίαση της LastPass το 2022 εξηγημένη: Τι κλάπηκε, τι σημαίνει και πώς να μεταναστεύσετε
Τον Αύγουστο / Νοέμβριο 2022, επιτιθέμενοι εξήγαγαν αντίγραφα ασφαλείας cloud της LastPass, συμπεριλαμβανομένων κρυπτογραφημένων χρηματοκιβωτίων χρηστών συν μη κρυπτογραφημένων μεταδεδομένων. Εδώ είναι τι είναι τεκμηριωμένο και τι να κάνετε τώρα αν εξακολουθείτε να έχετε λογαριασμό LastPass.
Τεκμηριωμένο χρονοδιάγραμμα
Σύμφωνα με τις δημοσιευμένες ανακοινώσεις περιστατικών της LastPass: τον Αύγουστο 2022, επιτιθέμενοι παραβίασαν τον υπολογιστή ενός προγραμματιστή της LastPass και απέκτησαν πρόσβαση στον πηγαίο κώδικα. Τον Νοέμβριο 2022, οι επιτιθέμενοι χρησιμοποίησαν διαπιστευτήρια από το περιστατικό του Αυγούστου για να αποκτήσουν πρόσβαση σε αντίγραφα ασφαλείας cloud στον αποθηκευτικό χώρο cloud τρίτου μέρους της LastPass. Αυτά τα αντίγραφα ασφαλείας περιείχαν κρυπτογραφημένα χρηματοκιβώτια πελατών συν μη κρυπτογραφημένα μεταδεδομένα — URL χρηματοκιβωτίων, διευθύνσεις email λογαριασμών, πληροφορίες χρέωσης. Η LastPass αποκάλυψε την κλοπή δεδομένων στις 22 Δεκεμβρίου 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Τι προστατεύει πραγματικά η κρυπτογράφηση
Τα χρηματοκιβώτια της LastPass είναι κρυπτογραφημένα με AES-256, με το κλειδί να προέρχεται από τον κύριο κωδικό μέσω PBKDF2. Η ισχύς της προστασίας εξαρτάται από (α) την εντροπία του κύριου κωδικού και (β) τον αριθμό επαναλήψεων PBKDF2. Ο προεπιλεγμένος αριθμός επαναλήψεων PBKDF2 της LastPass ήταν 5.000 για παλιούς λογαριασμούς πριν αυξηθεί σε 100.100 το 2018. Λογαριασμοί που δημιουργήθηκαν πριν το 2018 ενδέχεται να έχουν ακόμη χαμηλό αριθμό επαναλήψεων εκτός αν ο χρήστης τον αναβάθμισε χειροκίνητα — οι ανακοινώσεις περιστατικών της LastPass το τεκμηριώνουν. Ένας αδύναμος κύριος κωδικός με χαμηλό αριθμό επαναλήψεων είναι σπάσιμος με brute-force εκτός σύνδεσης· ένας ισχυρός κύριος κωδικός με 100.100+ επαναλήψεις δεν είναι, με το σημερινό υλικό.
Τι να κάνετε αν έχετε ή είχατε λογαριασμό LastPass
Βήμα 1: Εξαγάγετε το χρηματοκιβώτιό σας LastPass από την κονσόλα ιστού (Settings → Advanced Options → Export). Βήμα 2: Εισαγάγετέ το στο Bitwarden ή στο 1Password (και τα δύο διαθέτουν απευθείας εργαλεία εισαγωγής LastPass που τεκμηριώνονται στο bitwarden.com/help/import-from-lastpass και 1password.com/help). Βήμα 3: Αλλάξτε τους κωδικούς σε κάθε λογαριασμό με υψηλό κόστος αποκάλυψης — οικονομικοί, email, βασικά μέσα κοινωνικής δικτύωσης. Βήμα 4: Ενεργοποιήστε το 2FA σε κάθε λογαριασμό που το υποστηρίζει. Βήμα 5: Διαγράψτε τον λογαριασμό LastPass από την κονσόλα ιστού. Αν ο κύριος κωδικός σας ήταν ισχυρός (12+ τυχαίοι χαρακτήρες ή φράση πρόσβασης 6+ λέξεων), το κρυπτογραφημένο χρηματοκιβώτιο είναι υπολογιστικά ασφαλές· η εναλλαγή είναι προληπτική. Αν ο κύριος κωδικός σας ήταν αδύναμος, αντιμετωπίστε τους λογαριασμούς υψηλής αξίας ως παραβιασμένους.
Γιατί η παραβίαση επηρέασε την κατηγορία των διαχειριστών κωδικών, όχι μόνο τη LastPass
Η παραβίαση της LastPass ώθησε τους ερευνητές ασφαλείας να εξετάσουν πιο προσεκτικά τις αρχιτεκτονικές επιλογές σε ολόκληρη την κατηγορία. Δύο συγκεκριμένα διδάγματα: (1) Οι αριθμοί επαναλήψεων κρυπτογράφησης δεν είναι όλοι ίσοι — η διαφορά μεταξύ 5.000 και 100.100 επαναλήψεων PBKDF2 είναι μεγάλη. Το Argon2id (η σύγχρονη KDF που χρησιμοποιεί η Bitwarden και άλλοι) είναι ουσιωδώς ισχυρότερο και πάλι. (2) Η έκθεση μεταδεδομένων (URL λογαριασμών, διευθύνσεις email) είναι μια πραγματική βλάβη απορρήτου ακόμη και όταν τα περιεχόμενα του χρηματοκιβωτίου παραμένουν κρυπτογραφημένα, επειδή τα μεταδεδομένα βοηθούν έναν επιτιθέμενο να ιεραρχήσει στόχους. Οι σύγχρονοι ελεγμένοι διαχειριστές περιορίζουν τα μεταδεδομένα στο επίπεδο δεδομένων εν αδρανεία (data-at-rest).
Πηγές
Επίσημες ανακοινώσεις περιστατικών της LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Εργαλείο εισαγωγής LastPass του Bitwarden: bitwarden.com/help/import-from-lastpass. Βοήθεια 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Όλες οι διευθύνσεις URL προσπελάστηκαν στις 2026-04-30.