Пробивот на LastPass во 2022 објаснет: што беше украдено, што значи тоа и како да се преселите
Во август / ноември 2022 напаѓачите изнесоа облачни резервни копии на LastPass, вклучувајќи шифрирани кориснички сефови плус нешифрирани метаподатоци. Еве што е документирано и што да направите сега ако сè уште имате сметка на LastPass.
Документирана временска линија
Според објавените известувања за инцидент на LastPass: во август 2022 напаѓачите го компромитираа компјутерот на еден развивач на LastPass и пристапија до изворниот код. Во ноември 2022 напаѓачите искористија акредитиви од августовскиот инцидент за да пристапат до облачните резервни копии во облачното складиште на трета страна на LastPass. Тие резервни копии содржеа шифрирани сефови на клиентите плус нешифрирани метаподатоци — URL-адреси на сефови, е-поштенски адреси на сметки, информации за наплата. LastPass ја откри кражбата на податоци на 22 декември 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Што всушност штити шифрирањето
Сефовите на LastPass се шифрирани со AES-256, при што клучот е изведен од главната лозинка преку PBKDF2. Силината на заштитата зависи од (а) ентропијата на главната лозинка и (б) бројот на итерации на PBKDF2. Стандардниот број итерации на PBKDF2 кај LastPass беше 5.000 за старите сметки, пред да биде зголемен на 100.100 во 2018. Сметките создадени пред 2018 можеби сè уште имаат низок број итерации освен ако корисникот рачно не надградил — известувањата за инцидент на LastPass го документираат ова. Слаба главна лозинка со низок број итерации може да се пробие со груба сила без врска; силна главна лозинка со 100.100+ итерации не може, со тековниот хардвер.
Што да направите ако имате или имавте сметка на LastPass
Чекор 1: Извезете го вашиот сеф на LastPass од веб-конзолата (Поставки → Напредни опции → Извоз). Чекор 2: Увезете го во Bitwarden или 1Password (двата имаат директни увозници за LastPass, документирани на bitwarden.com/help/import-from-lastpass и 1password.com/help). Чекор 3: Ротирајте ги лозинките на секоја сметка со висока цена на откривање — финансии, е-пошта, примарни социјални мрежи. Чекор 4: Овозможете 2FA на секоја сметка што го поддржува тоа. Чекор 5: Избришете ја сметката на LastPass од веб-конзолата. Ако вашата главна лозинка беше силна (12+ случајни знаци или лозинкова фраза од 6+ зборови), шифрираниот сеф е пресметковно безбеден; ротацијата е претпазливост. Ако вашата главна лозинка беше слаба, третирајте ги сметките со висока вредност како компромитирани.
Зошто пробивот ја засегна целата категорија менаџери на лозинки, не само LastPass
Пробивот на LastPass ги поттикна безбедносните истражувачи повнимателно да ги разгледаат архитектонските избори низ целата категорија. Две конкретни сознанија: (1) Бројот на итерации на шифрирањето не е секаде ист — разликата меѓу 5.000 и 100.100 итерации на PBKDF2 е голема. Argon2id (модерниот KDF што го користат Bitwarden и други) е повторно значително посилен. (2) Изложеноста на метаподатоци (URL-адреси на сметки, е-поштенски адреси) е реална штета за приватноста дури и кога содржината на сефот останува шифрирана, бидејќи метаподатоците му помагаат на напаѓачот да ги приоритизира целите. Модерните ревидирани менаџери ги ограничуваат метаподатоците во слојот на податоци во мирување.
Извори
Официјални известувања за инцидент на LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Увозник на LastPass за Bitwarden: bitwarden.com/help/import-from-lastpass. Помош за 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Сите URL-адреси пристапени на 2026-04-30.