Wyciek danych LastPass z 2022 roku wyjaśniony: co skradziono, co to oznacza i jak się przenieść
W sierpniu / listopadzie 2022 roku atakujący wyprowadzili kopie zapasowe LastPass z chmury, w tym zaszyfrowane sejfy użytkowników oraz niezaszyfrowane metadane. Oto, co jest udokumentowane i co teraz zrobić, jeśli wciąż masz konto LastPass.
Udokumentowana oś czasu
Według opublikowanych przez LastPass komunikatów o incydencie: w sierpniu 2022 roku atakujący skompromitowali komputer dewelopera LastPass i uzyskali dostęp do kodu źródłowego. W listopadzie 2022 roku atakujący wykorzystali poświadczenia z sierpniowego incydentu, aby uzyskać dostęp do kopii zapasowych w chmurze przechowywanej u zewnętrznego dostawcy LastPass. Te kopie zapasowe zawierały zaszyfrowane sejfy klientów oraz niezaszyfrowane metadane — adresy URL sejfów, adresy e-mail kont, informacje rozliczeniowe. LastPass ujawnił kradzież danych 22 grudnia 2022 roku (blog.lastpass.com/posts/notice-of-recent-security-incident).
Co faktycznie chroni szyfrowanie
Sejfy LastPass są szyfrowane za pomocą AES-256, a klucz jest wyprowadzany z hasła głównego za pomocą PBKDF2. Siła ochrony zależy od (a) entropii hasła głównego oraz (b) liczby iteracji PBKDF2. Domyślna liczba iteracji PBKDF2 w LastPass wynosiła 5000 dla starych kont, zanim została podniesiona do 100 100 w 2018 roku. Konta utworzone przed 2018 rokiem mogą wciąż mieć niską liczbę iteracji, o ile użytkownik nie zaktualizował jej ręcznie — komunikaty LastPass o incydencie to dokumentują. Słabe hasło główne z niską liczbą iteracji jest możliwe do złamania metodą brute force w trybie offline; silne hasło główne z 100 100+ iteracjami nie jest — przy obecnym sprzęcie.
Co zrobić, jeśli masz lub miałeś konto LastPass
Krok 1: Wyeksportuj swój sejf LastPass z konsoli internetowej (Ustawienia → Opcje zaawansowane → Eksportuj). Krok 2: Zaimportuj go do Bitwarden lub 1Password (oba mają bezpośrednie importery LastPass udokumentowane na bitwarden.com/help/import-from-lastpass i 1password.com/help). Krok 3: Zmień hasła na każdym koncie o wysokim koszcie ujawnienia — finansowym, e-mail, głównym koncie społecznościowym. Krok 4: Włącz 2FA na każdym koncie, które to obsługuje. Krok 5: Usuń konto LastPass z konsoli internetowej. Jeśli Twoje hasło główne było silne (12+ losowych znaków lub fraza hasłowa z 6+ słów), zaszyfrowany sejf jest obliczeniowo bezpieczny; rotacja jest środkiem ostrożności. Jeśli Twoje hasło główne było słabe, potraktuj cenne konta jako skompromitowane.
Dlaczego wyciek dotknął całą kategorię menedżerów haseł, nie tylko LastPass
Wyciek danych LastPass skłonił badaczy bezpieczeństwa do dokładniejszego przyjrzenia się decyzjom architektonicznym w całej kategorii. Dwa konkretne wnioski: (1) Liczby iteracji szyfrowania nie są sobie równe — różnica między 5000 a 100 100 iteracjami PBKDF2 jest duża. Argon2id (nowoczesna KDF używana przez Bitwarden i innych) jest jeszcze wyraźnie silniejsza. (2) Ujawnienie metadanych (adresy URL kont, adresy e-mail) to realna szkoda dla prywatności, nawet gdy zawartość sejfu pozostaje zaszyfrowana, ponieważ metadane pomagają atakującemu priorytetyzować cele. Nowoczesne audytowane menedżery ograniczają metadane w warstwie danych spoczynkowych.
Źródła
Oficjalne komunikaty LastPass o incydencie: blog.lastpass.com/posts/notice-of-recent-security-incident. Importer LastPass do Bitwarden: bitwarden.com/help/import-from-lastpass. Pomoc 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Wszystkie adresy URL otwarte 2026-04-30.