LastPassi 2022. aasta rikkumine seletatuna: mis varastati, mida see tähendab ja kuidas üle minna
2022. aasta augustis / novembris eksfiltreerisid ründajad LastPassi pilvevarukoopiad, sealhulgas krüpteeritud kasutajahoidlad pluss krüpteerimata metaandmed. Siin on see, mis on dokumenteeritud ja mida nüüd teha, kui teil on endiselt LastPassi konto.
Dokumenteeritud ajajoon
LastPassi avaldatud intsidenditeadete kohaselt: 2022. aasta augustis kompromiteerisid ründajad LastPassi arendaja masina ja pääsesid ligi lähtekoodile. 2022. aasta novembris kasutasid ründajad augustikuu intsidendi mandaate, et pääseda ligi pilvevarukoopiatele LastPassi kolmanda osapoole pilvesalvestuses. Need varukoopiad sisaldasid krüpteeritud kliendihoidlaid pluss krüpteerimata metaandmeid — hoidla URL-id, konto e-posti aadressid, arveldusteave. LastPass avaldas andmevarguse 22. detsembril 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Mida krüpteerimine tegelikult kaitseb
LastPassi hoidlad on krüpteeritud AES-256-ga, kusjuures võti tuletatakse peaparoolist PBKDF2 abil. Kaitse tugevus sõltub (a) peaparooli entroopiast ja (b) PBKDF2 iteratsioonide arvust. LastPassi PBKDF2 vaikimisi iteratsioonide arv oli vanade kontode puhul 5000, enne kui see 2018. aastal tõsteti 100 100-le. Enne 2018. aastat loodud kontodel võib endiselt olla madal iteratsioonide arv, kui kasutaja ei ole käsitsi uuendanud — LastPassi intsidenditeated dokumenteerivad seda. Nõrk peaparool madala iteratsioonide arvuga on võrguühenduseta jõumeetodil murtav; tugev peaparool 100 100+ iteratsiooniga ei ole seda praeguse riistvaraga.
Mida teha, kui teil on või oli LastPassi konto
1. samm: eksportige oma LastPassi hoidla veebikonsoolist (Seaded → Täpsemad valikud → Ekspordi). 2. samm: importige Bitwardenisse või 1Passwordi (mõlemal on otsesed LastPassi importijad, dokumenteeritud aadressil bitwarden.com/help/import-from-lastpass ja 1password.com/help). 3. samm: vahetage paroolid igal kontol, mille avalikustamise kulu on suur — finants, e-post, peamine sotsiaalmeedia. 4. samm: lubage 2FA igal kontol, mis seda toetab. 5. samm: kustutage LastPassi konto veebikonsoolist. Kui teie peaparool oli tugev (12+ juhuslikku märki või 6+ sõnaline paroolifraas), on krüpteeritud hoidla arvutuslikult turvaline; vahetamine on ettevaatusabinõu. Kui teie peaparool oli nõrk, käsitlege kõrge väärtusega kontosid kui kompromiteerituid.
Miks rikkumine mõjutas paroolihalduri kategooriat, mitte ainult LastPassi
LastPassi rikkumine ajendas turvateadlasi hoolikamalt vaatama arhitektuurseid valikuid kogu kategoorias. Kaks konkreetset õppetundi: (1) Krüpteerimise iteratsioonide arvud ei ole kõik võrdsed — erinevus 5000 ja 100 100 PBKDF2 iteratsiooni vahel on suur. Argon2id (kaasaegne KDF, mida kasutavad Bitwarden ja teised) on taas oluliselt tugevam. (2) Metaandmete avalikustamine (kontode URL-id, e-posti aadressid) on tõeline privaatsuskahju isegi siis, kui hoidla sisu jääb krüpteerituks, sest metaandmed aitavad ründajal sihtmärke prioriseerida. Kaasaegsed auditeeritud haldurid piiravad metaandmeid puhkeoleku andmete kihis.
Allikad
LastPassi ametlikud intsidenditeated: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwardeni LastPassi importija: bitwarden.com/help/import-from-lastpass. 1Password abi: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Kõik URL-id avatud 2026-04-30.