Vdor v LastPass leta 2022 pojasnjen: kaj je bilo ukradeno, kaj to pomeni in kako se preseliti
Avgusta / novembra 2022 so napadalci izvlekli varnostne kopije LastPass v oblaku, vključno s šifriranimi uporabniškimi trezorji in nešifriranimi metapodatki. Tukaj je, kaj je dokumentirano in kaj storiti zdaj, če še imate račun LastPass.
Dokumentirana časovnica
Po objavljenih obvestilih LastPassa o incidentu: avgusta 2022 so napadalci kompromitirali računalnik razvijalca LastPassa in dostopali do izvorne kode. Novembra 2022 so napadalci uporabili poverilnice iz avgustovskega incidenta za dostop do varnostnih kopij v oblačni shrambi tretje osebe LastPassa. Te varnostne kopije so vsebovale šifrirane trezorje strank in nešifrirane metapodatke — URL-je trezorjev, e-poštne naslove računov, podatke o obračunu. LastPass je razkril krajo podatkov 22. decembra 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Kaj šifriranje dejansko ščiti
Trezorji LastPass so šifrirani z AES-256, pri čemer je ključ izpeljan iz glavnega gesla prek PBKDF2. Moč zaščite je odvisna od (a) entropije glavnega gesla in (b) števila iteracij PBKDF2. Privzeto število iteracij PBKDF2 pri LastPassu je bilo za stare račune 5.000, preden je bilo leta 2018 povečano na 100.100. Računi, ustvarjeni pred letom 2018, imajo morda še vedno nizko število iteracij, razen če je uporabnik ročno nadgradil — obvestila LastPassa o incidentu to dokumentirajo. Šibko glavno geslo z nizkim številom iteracij je mogoče prebiti z grobo silo brez povezave; močno glavno geslo s 100.100+ iteracijami s trenutno strojno opremo ni.
Kaj storiti, če imate ali ste imeli račun LastPass
1. korak: Izvozite svoj trezor LastPass iz spletne konzole (Nastavitve → Napredne možnosti → Izvoz). 2. korak: Uvozite ga v Bitwarden ali 1Password (oba imata neposredna uvoznika za LastPass, dokumentirana na bitwarden.com/help/import-from-lastpass in 1password.com/help). 3. korak: Zamenjajte gesla na vsakem računu z visoko ceno razkritja — finance, e-pošta, primarna družbena omrežja. 4. korak: Vklopite 2FA na vsakem računu, ki to podpira. 5. korak: Izbrišite račun LastPass iz spletne konzole. Če je bilo vaše glavno geslo močno (12+ naključnih znakov ali geselna fraza s 6+ besedami), je šifriran trezor računsko varen; rotacija je previdnostni ukrep. Če je bilo vaše glavno geslo šibko, obravnavajte račune visoke vrednosti kot kompromitirane.
Zakaj je vdor prizadel celotno kategorijo upraviteljev gesel, ne le LastPassa
Vdor v LastPass je spodbudil varnostne raziskovalce, da so natančneje pregledali arhitekturne odločitve po vsej kategoriji. Dve konkretni spoznanji: (1) Števila iteracij šifriranja niso vsa enaka — razlika med 5.000 in 100.100 iteracijami PBKDF2 je velika. Argon2id (sodobni KDF, ki ga uporabljajo Bitwarden in drugi) je še bistveno močnejši. (2) Izpostavljenost metapodatkov (URL-ji računov, e-poštni naslovi) je resnična škoda za zasebnost, tudi kadar vsebina trezorja ostane šifrirana, saj metapodatki napadalcu pomagajo prednostno razvrstiti cilje. Sodobni revidirani upravitelji omejujejo metapodatke v plasti podatkov v mirovanju.
Viri
Uradna obvestila LastPassa o incidentu: blog.lastpass.com/posts/notice-of-recent-security-incident. Uvoznik LastPass za Bitwarden: bitwarden.com/help/import-from-lastpass. Pomoč 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Vsi URL-ji dostopani 2026-04-30.