A 2022-es LastPass adatszivárgás elmagyarázva: mit loptak el, mit jelent, és hogyan költözz át
2022 augusztusában / novemberében a támadók kiszivárogtatták a LastPass felhőalapú biztonsági mentéseit, beleértve a titkosított felhasználói széfeket és a titkosítatlan metaadatokat. Íme, mi van dokumentálva, és mit kell most tenned, ha még mindig van LastPass-fiókod.
Dokumentált idővonal
A LastPass közzétett incidensbejelentései szerint: 2022 augusztusában a támadók kompromittálták egy LastPass-fejlesztő gépét, és hozzáfértek a forráskódhoz. 2022 novemberében a támadók az augusztusi incidensből származó hitelesítő adatokat használtak fel, hogy hozzáférjenek a LastPass harmadik fél felhőtárhelyén lévő biztonsági mentésekhez. Ezek a biztonsági mentések titkosított ügyfélszéfeket és titkosítatlan metaadatokat tartalmaztak — széf-URL-eket, fiók-e-mail-címeket, számlázási információkat. A LastPass 2022. december 22-én hozta nyilvánosságra az adatlopást (blog.lastpass.com/posts/notice-of-recent-security-incident).
Mit véd valójában a titkosítás
A LastPass-széfek AES-256-tal vannak titkosítva, a kulcsot a mesterjelszóból vezetik le PBKDF2-n keresztül. A védelem erőssége (a) a mesterjelszó entrópiájától és (b) a PBKDF2 iterációszámától függ. A LastPass alapértelmezett iterációszáma 5.000 volt a régi fiókoknál, mielőtt 2018-ban 100.100-ra emelték. A 2018 előtt létrehozott fiókoknak még mindig alacsony iterációszámuk lehet, hacsak a felhasználó nem frissítette manuálisan — a LastPass incidensbejelentései ezt dokumentálják. Egy gyenge, alacsony iterációszámú mesterjelszó offline, nyers erővel feltörhető; egy erős, 100.100+ iterációval rendelkező mesterjelszó a jelenlegi hardverrel nem.
Mit tegyél, ha van vagy volt LastPass-fiókod
1. lépés: Exportáld a LastPass-széfedet a webes konzolból (Beállítások → Speciális beállítások → Exportálás). 2. lépés: Importáld a Bitwardenbe vagy az 1Passwordbe (mindkettőnek van közvetlen LastPass-importálója, amelyet a bitwarden.com/help/import-from-lastpass és az 1password.com/help dokumentál). 3. lépés: Cseréld le a jelszavakat minden olyan fióknál, ahol magas a nyilvánosságra kerülés költsége — pénzügyi, e-mail, fő közösségimédia-fiókok. 4. lépés: Engedélyezd a 2FA-t minden olyan fióknál, amely támogatja. 5. lépés: Töröld a LastPass-fiókot a webes konzolból. Ha a mesterjelszavad erős volt (12+ véletlenszerű karakter vagy 6+ szavas jelmondat), a titkosított széf számításilag biztonságos; a rotáció óvintézkedés. Ha a mesterjelszavad gyenge volt, kezeld a nagy értékű fiókokat kompromittáltként.
Miért érintette az adatszivárgás a teljes jelszókezelő-kategóriát, nem csak a LastPasst
A LastPass adatszivárgás arra késztette a biztonsági kutatókat, hogy alaposabban megvizsgálják az architekturális döntéseket az egész kategóriában. Két konkrét tanulság: (1) A titkosítási iterációszámok nem mind egyformák — az 5.000 és a 100.100 PBKDF2-iteráció közötti különbség nagy. Az Argon2id (a Bitwarden és mások által használt modern KDF) ismét lényegesen erősebb. (2) A metaadatok kiszivárgása (fiókok URL-jei, e-mail-címek) valós adatvédelmi kár még akkor is, ha a széfek tartalma titkosított marad, mert a metaadatok segítenek a támadónak a célpontok rangsorolásában. A modern auditált kezelők korlátozzák a metaadatokat a nyugalmi adatrétegben.
Források
A LastPass hivatalos incidensbejelentései: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-importáló: bitwarden.com/help/import-from-lastpass. 1Password súgó: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Minden URL elérve 2026-04-30-án.