Únik dát LastPass z roku 2022 vysvetlený: Čo bolo ukradnuté, čo to znamená a ako prejsť inam
V auguste / novembri 2022 útočníci exfiltrovali cloudové zálohy LastPass vrátane zašifrovaných používateľských trezorov plus nezašifrovaných metadát. Tu je, čo je zdokumentované a čo robiť teraz, ak stále máte účet LastPass.
Zdokumentovaná časová os
Podľa zverejnených oznámení LastPass o incidente: v auguste 2022 útočníci kompromitovali počítač vývojára LastPass a získali prístup k zdrojovému kódu. V novembri 2022 útočníci pomocou prihlasovacích údajov z augustového incidentu získali prístup k cloudovým zálohám v cloudovom úložisku tretej strany LastPass. Tieto zálohy obsahovali zašifrované zákaznícke trezory plus nezašifrované metadáta — URL trezorov, e-mailové adresy účtov, fakturačné údaje. LastPass odhalil krádež dát 22. decembra 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Čo šifrovanie v skutočnosti chráni
Trezory LastPass sú šifrované pomocou AES-256, pričom kľúč je z hlavného hesla odvodený pomocou PBKDF2. Sila ochrany závisí od (a) entropie hlavného hesla a (b) počtu iterácií PBKDF2. Predvolený počet iterácií PBKDF2 u LastPass bol pri starých účtoch 5 000, kým nebol v roku 2018 zvýšený na 100 100. Účty vytvorené pred rokom 2018 môžu mať stále nízky počet iterácií, ak používateľ ručne nevykonal aktualizáciu — oznámenia LastPass o incidente to dokumentujú. Slabé hlavné heslo s nízkym počtom iterácií možno offline prelomiť hrubou silou; silné hlavné heslo so 100 100+ iteráciami sa so súčasným hardvérom prelomiť nedá.
Čo robiť, ak máte alebo ste mali účet LastPass
Krok 1: Exportujte svoj trezor LastPass z webovej konzoly (Nastavenia → Pokročilé možnosti → Exportovať). Krok 2: Naimportujte ho do Bitwarden alebo 1Password (oba majú priame importéry LastPass dokumentované na bitwarden.com/help/import-from-lastpass a 1password.com/help). Krok 3: Vymeňte heslá pri každom účte s vysokými nákladmi na odhalenie — finančné, e-mail, hlavné sociálne siete. Krok 4: Zapnite 2FA pri každom účte, ktorý to podporuje. Krok 5: Zmažte účet LastPass z webovej konzoly. Ak bolo vaše hlavné heslo silné (12+ náhodných znakov alebo passphrase zo 6+ slov), je zašifrovaný trezor výpočtovo bezpečný; výmena je preventívne opatrenie. Ak bolo vaše hlavné heslo slabé, považujte cenné účty za kompromitované.
Prečo únik zasiahol celú kategóriu správcov hesiel, nielen LastPass
Únik dát LastPass prinútil bezpečnostných výskumníkov dôkladnejšie preskúmať architektonické rozhodnutia naprieč celou kategóriou. Dva konkrétne poznatky: (1) Počty iterácií šifrovania nie sú všetky rovnaké — rozdiel medzi 5 000 a 100 100 iteráciami PBKDF2 je veľký. Argon2id (moderná KDF, ktorú používa Bitwarden a ďalší) je opäť výrazne silnejšia. (2) Odhalenie metadát (URL účtov, e-mailové adresy) je reálna ujma na súkromí, aj keď obsah trezora zostáva zašifrovaný, pretože metadáta pomáhajú útočníkovi prioritizovať ciele. Moderní auditovaní správcovia obmedzujú metadáta vo vrstve dát v pokoji.
Zdroje
Oficiálne oznámenia LastPass o incidente: blog.lastpass.com/posts/notice-of-recent-security-incident. Importér LastPass v Bitwarden: bitwarden.com/help/import-from-lastpass. Pomoc 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Všetky URL navštívené 2026-04-30.