Proboj LastPassa 2022. objašnjen: šta je ukradeno, šta to znači i kako preći na drugo
U avgustu / novembru 2022. napadači su eksfiltrirali LastPassove rezervne kopije u oblaku uključujući šifrovane korisničke trezore plus nešifrovane metapodatke. Evo šta je dokumentovano i šta sada uraditi ako još uvek imate LastPass nalog.
Dokumentovana vremenska linija
Prema objavljenim obaveštenjima LastPassa o incidentu: u avgustu 2022. napadači su kompromitovali računar LastPass programera i pristupili izvornom kôdu. U novembru 2022. napadači su iskoristili akreditive iz avgustovskog incidenta da pristupe rezervnim kopijama u oblaku u LastPassovom skladištu u oblaku treće strane. Te kopije sadržavale su šifrovane korisničke trezore plus nešifrovane metapodatke — URL-ove trezora, imejl adrese naloga, podatke o naplati. LastPass je obelodanio krađu podataka 22. decembra 2022. (blog.lastpass.com/posts/notice-of-recent-security-incident).
Šta šifrovanje zapravo štiti
LastPass trezori šifrovani su sa AES-256, pri čemu se ključ izvodi iz glavne lozinke putem PBKDF2. Snaga zaštite zavisi od (a) entropije glavne lozinke i (b) broja PBKDF2 iteracija. Podrazumevani broj PBKDF2 iteracija LastPassa bio je 5.000 za stare naloge pre nego što je 2018. povećan na 100.100. Nalozi kreirani pre 2018. mogu i dalje imati niske brojeve iteracija osim ako ih korisnik nije ručno nadogradio — LastPassova obaveštenja o incidentu to dokumentuju. Slaba glavna lozinka sa niskim brojem iteracija može se van mreže razbiti grubom silom; jaka glavna lozinka sa 100.100+ iteracija ne može se, uz trenutni hardver.
Šta uraditi ako imate ili ste imali LastPass nalog
Korak 1: Izvezite svoj LastPass trezor iz veb konzole (Podešavanja → Napredne opcije → Izvoz). Korak 2: Uvezite u Bitwarden ili 1Password (oba imaju direktne LastPass uvoznike dokumentovane na bitwarden.com/help/import-from-lastpass i 1password.com/help). Korak 3: Promenite lozinke na svakom nalogu sa visokim troškom otkrivanja — finansijski, imejl, primarni društveni. Korak 4: Omogućite 2FA na svakom nalogu koji ga podržava. Korak 5: Izbrišite LastPass nalog iz veb konzole. Ako je vaša glavna lozinka bila jaka (12+ nasumičnih znakova ili pristupna fraza od 6+ reči), šifrovani trezor je računski bezbedan; rotacija je mera opreza. Ako je vaša glavna lozinka bila slaba, smatrajte naloge visoke vrednosti kompromitovanima.
Zašto je proboj pogodio celu kategoriju menadžera lozinki, ne samo LastPass
Proboj LastPassa podstakao je bezbednosne istraživače da pažljivije pogledaju arhitektonske odluke u celoj kategoriji. Dva konkretna saznanja: (1) Brojevi iteracija šifrovanja nisu svi jednaki — razlika između 5.000 i 100.100 PBKDF2 iteracija je velika. Argon2id (moderna KDF koju koriste Bitwarden i drugi) bitno je jača iznova. (2) Izloženost metapodataka (URL-ovi naloga, imejl adrese) stvarna je šteta po privatnost čak i kada sadržaj trezora ostane šifrovan, jer metapodaci pomažu napadaču da rangira mete. Moderni revidirani menadžeri ograničavaju metapodatke u sloju podataka u mirovanju (data-at-rest).
Izvori
Zvanična obaveštenja LastPassa o incidentu: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass uvoznik: bitwarden.com/help/import-from-lastpass. 1Password pomoć: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Svi URL-ovi pristupljeni 2026-04-30.