2022. gada LastPass pārkāpums izskaidrots: kas tika nozagts, ko tas nozīmē un kā pāriet citur
2022. gada augustā / novembrī uzbrucēji izvilka LastPass mākoņa dublējumkopijas, ieskaitot šifrētas lietotāju glabātavas plus nešifrētus metadatus. Lūk, kas ir dokumentēts un ko darīt tagad, ja jums joprojām ir LastPass konts.
Dokumentētā laika līnija
Saskaņā ar publicētajiem LastPass paziņojumiem par incidentu: 2022. gada augustā uzbrucēji apdraudēja LastPass izstrādātāja datoru un piekļuva pirmkodam. 2022. gada novembrī uzbrucēji izmantoja akreditācijas datus no augusta incidenta, lai piekļūtu mākoņa dublējumkopijām LastPass trešās puses mākoņa krātuvē. Šajās dublējumkopijās bija šifrētas klientu glabātavas plus nešifrēti metadati — glabātavu URL, kontu e-pasta adreses, norēķinu informācija. LastPass atklāja datu zādzību 2022. gada 22. decembrī (blog.lastpass.com/posts/notice-of-recent-security-incident).
Ko šifrēšana patiesībā aizsargā
LastPass glabātavas ir šifrētas ar AES-256, atslēgu atvasinot no galvenās paroles caur PBKDF2. Aizsardzības stiprums ir atkarīgs no (a) galvenās paroles entropijas un (b) PBKDF2 iterāciju skaita. LastPass noklusējuma PBKDF2 iterāciju skaits vecajiem kontiem bija 5000, pirms 2018. gadā tas tika palielināts līdz 100 100. Pirms 2018. gada izveidotajiem kontiem joprojām var būt zems iterāciju skaits, ja vien lietotājs nav manuāli atjauninājis — LastPass paziņojumi par incidentu to dokumentē. Vāja galvenā parole ar zemu iterāciju skaitu ir uzlaužama bezsaistē ar brutālu spēku; spēcīga galvenā parole ar 100 100+ iterācijām ar pašreizējo aparatūru nav.
Ko darīt, ja jums ir vai bija LastPass konts
1. solis: eksportējiet savu LastPass glabātavu no tīmekļa konsoles (Iestatījumi → Papildu opcijas → Eksportēt). 2. solis: importējiet to Bitwarden vai 1Password (abiem ir tieši LastPass importētāji, dokumentēti vietnē bitwarden.com/help/import-from-lastpass un 1password.com/help). 3. solis: nomainiet paroles jebkuram kontam ar augstu atklāšanas izmaksu — finanšu, e-pasta, galvenajiem sociālajiem tīkliem. 4. solis: iespējojiet 2FA jebkuram kontam, kas to atbalsta. 5. solis: dzēsiet LastPass kontu no tīmekļa konsoles. Ja jūsu galvenā parole bija spēcīga (12+ nejauši simboli vai 6+ vārdu frāzparole), šifrētā glabātava ir skaitļošanas ziņā droša; rotācija ir piesardzības pasākums. Ja galvenā parole bija vāja, uzskatiet augstvērtīgos kontus par apdraudētiem.
Kāpēc pārkāpums skāra visu paroļu pārvaldnieku kategoriju, ne tikai LastPass
LastPass pārkāpums mudināja drošības pētniekus rūpīgāk aplūkot arhitektūras izvēles visā kategorijā. Divas konkrētas atziņas: (1) Šifrēšanas iterāciju skaiti nav visi vienādi — atšķirība starp 5000 un 100 100 PBKDF2 iterācijām ir liela. Argon2id (modernais KDF, ko izmanto Bitwarden un citi) ir vēl ievērojami spēcīgāks. (2) Metadatu atklāšana (kontu URL, e-pasta adreses) ir reāls privātuma kaitējums, pat ja glabātavu saturs paliek šifrēts, jo metadati palīdz uzbrucējam noteikt mērķu prioritātes. Modernie auditētie pārvaldnieki ierobežo metadatus glabājamo datu (data-at-rest) slānī.
Avoti
Oficiālie LastPass paziņojumi par incidentu: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass importētājs: bitwarden.com/help/import-from-lastpass. 1Password palīdzība: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Visi URL piekļūti 2026-04-30.