Proboj LastPassa 2022. objašnjen: što je ukradeno, što to znači i kako prijeći drugamo
U kolovozu / studenom 2022. napadači su eksfiltrirali LastPassove oblačne sigurnosne kopije uključujući šifrirane korisničke trezore plus nešifrirane metapodatke. Evo što je dokumentirano i što sada učiniti ako još uvijek imate LastPass račun.
Dokumentirana vremenska crta
Prema objavljenim obavijestima LastPassa o incidentu: u kolovozu 2022. napadači su kompromitirali računalo LastPass programera i pristupili izvornom kôdu. U studenom 2022. napadači su iskoristili vjerodajnice iz kolovoškog incidenta za pristup oblačnim sigurnosnim kopijama u LastPassovoj oblačnoj pohrani treće strane. Te su kopije sadržavale šifrirane korisničke trezore plus nešifrirane metapodatke — URL-ove trezora, e-mail adrese računa, podatke o naplati. LastPass je otkrio krađu podataka 22. prosinca 2022. (blog.lastpass.com/posts/notice-of-recent-security-incident).
Što šifriranje zapravo štiti
LastPass trezori šifrirani su s AES-256, pri čemu se ključ izvodi iz glavne lozinke putem PBKDF2. Snaga zaštite ovisi o (a) entropiji glavne lozinke i (b) broju PBKDF2 iteracija. Zadani broj PBKDF2 iteracija LastPassa bio je 5.000 za stare račune prije nego što je 2018. povećan na 100.100. Računi stvoreni prije 2018. mogu i dalje imati niske brojeve iteracija osim ako ih korisnik nije ručno nadogradio — LastPassove obavijesti o incidentu to dokumentiraju. Slaba glavna lozinka s niskim brojem iteracija može se izvanmrežno razbiti grubom silom; jaka glavna lozinka sa 100.100+ iteracija ne može se, uz trenutačni hardver.
Što učiniti ako imate ili ste imali LastPass račun
Korak 1: Izvezite svoj LastPass trezor iz web konzole (Postavke → Napredne opcije → Izvoz). Korak 2: Uvezite u Bitwarden ili 1Password (oba imaju izravne LastPass uvoznike dokumentirane na bitwarden.com/help/import-from-lastpass i 1password.com/help). Korak 3: Promijenite lozinke na svakom računu s visokim troškom otkrivanja — financijski, e-mail, primarni društveni. Korak 4: Omogućite 2FA na svakom računu koji ga podržava. Korak 5: Izbrišite LastPass račun iz web konzole. Ako je vaša glavna lozinka bila jaka (12+ nasumičnih znakova ili pristupna fraza od 6+ riječi), šifrirani je trezor računski siguran; rotacija je mjera opreza. Ako je vaša glavna lozinka bila slaba, smatrajte račune visoke vrijednosti kompromitiranima.
Zašto je proboj pogodio cijelu kategoriju upravitelja lozinki, ne samo LastPass
Proboj LastPassa potaknuo je sigurnosne istraživače da pažljivije pogledaju arhitektonske odluke u cijeloj kategoriji. Dvije konkretne spoznaje: (1) Brojevi iteracija šifriranja nisu svi jednaki — razlika između 5.000 i 100.100 PBKDF2 iteracija je velika. Argon2id (moderna KDF koju koriste Bitwarden i drugi) bitno je jača iznova. (2) Izloženost metapodataka (URL-ovi računa, e-mail adrese) stvarna je šteta za privatnost čak i kada sadržaj trezora ostane šifriran, jer metapodaci pomažu napadaču da rangira mete. Moderni revidirani upravitelji ograničavaju metapodatke u sloju podataka u mirovanju (data-at-rest).
Izvori
Službene obavijesti LastPassa o incidentu: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass uvoznik: bitwarden.com/help/import-from-lastpass. 1Password pomoć: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Svi URL-ovi pristupljeni 2026-04-30.