2022 m. LastPass pažeidimas paaiškintas: kas buvo pavogta, ką tai reiškia ir kaip persikelti
2022 m. rugpjūtį / lapkritį užpuolikai išviliojo LastPass debesijos atsargines kopijas, įskaitant užšifruotas naudotojų saugyklas plius nešifruotus metaduomenis. Štai kas dokumentuota ir ką daryti dabar, jei vis dar turite LastPass paskyrą.
Dokumentuota laiko juosta
Pagal paskelbtus LastPass pranešimus apie incidentą: 2022 m. rugpjūtį užpuolikai pažeidė LastPass kūrėjo kompiuterį ir gavo prieigą prie pirminio kodo. 2022 m. lapkritį užpuolikai panaudojo prisijungimo duomenis iš rugpjūčio incidento, kad pasiektų debesijos atsargines kopijas LastPass trečiosios šalies debesijos saugykloje. Tose atsarginėse kopijose buvo užšifruotos klientų saugyklos plius nešifruoti metaduomenys — saugyklų URL, paskyrų el. pašto adresai, atsiskaitymo informacija. LastPass atskleidė duomenų vagystę 2022 m. gruodžio 22 d. (blog.lastpass.com/posts/notice-of-recent-security-incident).
Ką šifravimas iš tikrųjų saugo
LastPass saugyklos užšifruotos AES-256, o raktas išvedamas iš pagrindinio slaptažodžio per PBKDF2. Apsaugos stiprumas priklauso nuo (a) pagrindinio slaptažodžio entropijos ir (b) PBKDF2 iteracijų skaičiaus. LastPass numatytasis PBKDF2 iteracijų skaičius senoms paskyroms buvo 5 000, kol 2018 m. nebuvo padidintas iki 100 100. Iki 2018 m. sukurtos paskyros vis dar gali turėti mažą iteracijų skaičių, nebent naudotojas rankiniu būdu atnaujino — LastPass pranešimai apie incidentą tai dokumentuoja. Silpnas pagrindinis slaptažodis su mažu iteracijų skaičiumi gali būti įveikiamas brutalia jėga neprisijungus; stiprus pagrindinis slaptažodis su 100 100+ iteracijų su dabartine technine įranga — ne.
Ką daryti, jei turite ar turėjote LastPass paskyrą
1 žingsnis: eksportuokite savo LastPass saugyklą iš žiniatinklio konsolės (Nustatymai → Išplėstinės parinktys → Eksportuoti). 2 žingsnis: importuokite į Bitwarden ar 1Password (abu turi tiesioginius LastPass importuotojus, dokumentuotus adresu bitwarden.com/help/import-from-lastpass ir 1password.com/help). 3 žingsnis: pakeiskite slaptažodžius bet kurioje paskyroje, kurios atskleidimo kaina aukšta — finansų, el. pašto, pagrindinių socialinių tinklų. 4 žingsnis: įjunkite 2FA bet kurioje paskyroje, kuri ją palaiko. 5 žingsnis: pašalinkite LastPass paskyrą iš žiniatinklio konsolės. Jei jūsų pagrindinis slaptažodis buvo stiprus (12+ atsitiktinių simbolių ar 6+ žodžių slaptafrazė), užšifruota saugykla yra skaičiavimo požiūriu saugi; rotacija yra atsargumo priemonė. Jei pagrindinis slaptažodis buvo silpnas, laikykite vertingas paskyras pažeistomis.
Kodėl pažeidimas palietė visą slaptažodžių tvarkyklių kategoriją, ne tik LastPass
LastPass pažeidimas paskatino saugumo tyrėjus atidžiau pažvelgti į architektūrinius sprendimus visoje kategorijoje. Du konkretūs įžvalgos: (1) Šifravimo iteracijų skaičiai nėra visi vienodi — skirtumas tarp 5 000 ir 100 100 PBKDF2 iteracijų yra didelis. Argon2id (modernus KDF, naudojamas Bitwarden ir kitų) yra dar gerokai stipresnis. (2) Metaduomenų atskleidimas (paskyrų URL, el. pašto adresai) yra realus privatumo pakenkimas, net jei saugyklos turinys lieka užšifruotas, nes metaduomenys padeda užpuolikui nustatyti taikinių prioritetus. Modernios audituotos tvarkyklės riboja metaduomenis saugomų duomenų (data-at-rest) sluoksnyje.
Šaltiniai
Oficialūs LastPass pranešimai apie incidentą: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass importuotojas: bitwarden.com/help/import-from-lastpass. 1Password pagalba: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Visi URL pasiekti 2026-04-30.