LastPassin vuoden 2022 murto selitettynä: mitä varastettiin, mitä se tarkoittaa ja kuinka siirtyä pois
Elo–marraskuussa 2022 hyökkääjät vuosivat LastPassin pilvivarmuuskopioita, mukaan lukien salatut käyttäjäholvit sekä salaamattomat metatiedot. Tässä on, mitä on dokumentoitu ja mitä tehdä nyt, jos sinulla on yhä LastPass-tili.
Dokumentoitu aikajana
LastPassin julkaisemien tapausilmoitusten mukaan: elokuussa 2022 hyökkääjät vaaransivat LastPass-kehittäjän koneen ja pääsivät käsiksi lähdekoodiin. Marraskuussa 2022 hyökkääjät käyttivät elokuun tapauksesta saatuja tunnuksia päästäkseen pilvivarmuuskopioihin LastPassin kolmannen osapuolen pilvitallennuksessa. Nämä varmuuskopiot sisälsivät salatut asiakasholvit sekä salaamattomat metatiedot — holvin URL-osoitteet, tilien sähköpostiosoitteet, laskutustiedot. LastPass paljasti tietovarkauden 22. joulukuuta 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Mitä salaus oikeasti suojaa
LastPassin holvit on salattu AES-256:lla, jonka avain johdetaan pääsalasanasta PBKDF2:n avulla. Suojauksen vahvuus riippuu (a) pääsalasanan entropiasta ja (b) PBKDF2-iteraatioiden määrästä. LastPassin PBKDF2:n oletusiteraatiomäärä oli 5 000 vanhoille tileille ennen kuin se nostettiin 100 100:aan vuonna 2018. Ennen vuotta 2018 luoduilla tileillä saattaa yhä olla alhaiset iteraatiomäärät, ellei käyttäjä manuaalisesti päivittänyt niitä — LastPassin tapausilmoitukset dokumentoivat tämän. Heikko pääsalasana alhaisella iteraatiomäärällä on murrettavissa raa'alla voimalla offline-tilassa; vahva pääsalasana 100 100+ iteraatiolla ei ole, nykyisellä laitteistolla.
Mitä tehdä, jos sinulla on tai oli LastPass-tili
Vaihe 1: Vie LastPass-holvisi verkkokonsolista (Settings → Advanced Options → Export). Vaihe 2: Tuo se Bitwardeniin tai 1Passwordiin (molemmilla on suorat LastPass-tuojat dokumentoituna osoitteissa bitwarden.com/help/import-from-lastpass ja 1password.com/help). Vaihe 3: Vaihda salasanat kaikilla tileillä, joilla paljastumisen kustannus on korkea — talous, sähköposti, ensisijainen sosiaalinen media. Vaihe 4: Ota 2FA käyttöön kaikilla tileillä, jotka tukevat sitä. Vaihe 5: Poista LastPass-tili verkkokonsolista. Jos pääsalasanasi oli vahva (12+ satunnaista merkkiä tai 6+ sanan tunnuslause), salattu holvi on laskennallisesti turvassa; vaihtaminen on varotoimi. Jos pääsalasanasi oli heikko, kohtele arvokkaita tilejä vaarantuneina.
Miksi murto vaikutti salasanojen hallinta -kategoriaan, ei vain LastPassiin
LastPassin murto sai tietoturvatutkijat tarkastelemaan huolellisemmin kategorian arkkitehtuurisia valintoja. Kaksi konkreettista opetusta: (1) Salauksen iteraatiomäärät eivät ole kaikki samanarvoisia — ero 5 000:n ja 100 100:n PBKDF2-iteraation välillä on suuri. Argon2id (Bitwardenin ja muiden käyttämä moderni KDF) on jälleen olennaisesti vahvempi. (2) Metatietojen paljastuminen (tilien URL-osoitteet, sähköpostiosoitteet) on todellinen yksityisyyshaitta, vaikka holvin sisältö pysyisi salattuna, koska metatieto auttaa hyökkääjää priorisoimaan kohteita. Modernit auditoidut hallintaohjelmat rajoittavat metatietoja levossa olevan datan kerroksessa.
Lähteet
LastPassin viralliset tapausilmoitukset: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwardenin LastPass-tuoja: bitwarden.com/help/import-from-lastpass. 1Passwordin ohje: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Kaikki URL-osoitteet käytetty 2026-04-30.