Breșa LastPass din 2022 explicată: ce a fost furat, ce înseamnă și cum migrezi
În august / noiembrie 2022, atacatorii au exfiltrat copii de rezervă din cloud-ul LastPass, inclusiv seifuri criptate ale utilizatorilor plus metadate necriptate. Iată ce este documentat și ce trebuie să faci acum dacă încă mai ai un cont LastPass.
Cronologie documentată
Conform notificărilor de incident publicate de LastPass: în august 2022, atacatorii au compromis calculatorul unui dezvoltator LastPass și au accesat codul sursă. În noiembrie 2022, atacatorii au folosit date de autentificare din incidentul din august pentru a accesa copii de rezervă din cloud-ul de stocare al unui terț al LastPass. Acele copii de rezervă conțineau seifuri criptate ale clienților plus metadate necriptate — URL-uri ale seifurilor, adrese de e-mail ale conturilor, informații de facturare. LastPass a dezvăluit furtul de date pe 22 decembrie 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Ce protejează de fapt criptarea
Seifurile LastPass sunt criptate cu AES-256, cheia fiind derivată din parola principală prin PBKDF2. Puterea protecției depinde de (a) entropia parolei principale și (b) numărul de iterații PBKDF2. Numărul de iterații implicit al LastPass era de 5.000 pentru conturile vechi, înainte de a fi crescut la 100.100 în 2018. Conturile create înainte de 2018 pot avea încă un număr scăzut de iterații, cu excepția cazului în care utilizatorul a făcut un upgrade manual — notificările de incident ale LastPass documentează acest lucru. O parolă principală slabă cu un număr scăzut de iterații poate fi spartă offline prin forță brută; o parolă principală puternică cu 100.100+ iterații nu poate fi, cu hardware-ul actual.
Ce să faci dacă ai sau ai avut un cont LastPass
Pasul 1: Exportă-ți seiful LastPass din consola web (Setări → Opțiuni avansate → Export). Pasul 2: Importă-l în Bitwarden sau 1Password (ambele au importatoare directe pentru LastPass, documentate la bitwarden.com/help/import-from-lastpass și 1password.com/help). Pasul 3: Schimbă parolele la orice cont cu cost mare de divulgare — financiar, e-mail, conturile principale de social media. Pasul 4: Activează 2FA la orice cont care îl acceptă. Pasul 5: Șterge contul LastPass din consola web. Dacă parola ta principală era puternică (12+ caractere aleatorii sau o frază de acces din 6+ cuvinte), seiful criptat este sigur din punct de vedere computațional; rotația este o măsură de precauție. Dacă parola ta principală era slabă, tratează conturile de valoare ca fiind compromise.
De ce breșa a afectat întreaga categorie a managerilor de parole, nu doar LastPass
Breșa LastPass i-a determinat pe cercetătorii în securitate să examineze mai atent alegerile arhitecturale din întreaga categorie. Două concluzii concrete: (1) Numărul de iterații al criptării nu este egal peste tot — diferența dintre 5.000 și 100.100 de iterații PBKDF2 este mare. Argon2id (KDF-ul modern folosit de Bitwarden și alții) este din nou semnificativ mai puternic. (2) Expunerea metadatelor (URL-uri ale conturilor, adrese de e-mail) reprezintă un prejudiciu real al confidențialității chiar și atunci când conținutul seifurilor rămâne criptat, deoarece metadatele ajută un atacator să prioritizeze țintele. Managerii moderni auditați limitează metadatele în stratul de date în repaus.
Surse
Notificări oficiale de incident LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Importator LastPass Bitwarden: bitwarden.com/help/import-from-lastpass. Ajutor 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Toate URL-urile accesate pe 2026-04-30.