Витік даних LastPass 2022 року пояснено: що було вкрадено, що це означає і як перейти на інший менеджер
У серпні / листопаді 2022 року зловмисники викрали хмарні резервні копії LastPass, включно із зашифрованими сховищами користувачів та незашифрованими метаданими. Ось що задокументовано і що робити зараз, якщо ви все ще маєте обліковий запис LastPass.
Задокументована хронологія
Згідно з опублікованими LastPass повідомленнями про інцидент: у серпні 2022 року зловмисники скомпрометували комп'ютер розробника LastPass та отримали доступ до вихідного коду. У листопаді 2022 року зловмисники використали облікові дані із серпневого інциденту, щоб отримати доступ до хмарних резервних копій у сторонньому хмарному сховищі LastPass. Ці резервні копії містили зашифровані сховища клієнтів та незашифровані метадані — URL-адреси сховищ, адреси електронної пошти облікових записів, платіжну інформацію. LastPass розкрив крадіжку даних 22 грудня 2022 року (blog.lastpass.com/posts/notice-of-recent-security-incident).
Що насправді захищає шифрування
Сховища LastPass зашифровані за допомогою AES-256, а ключ виводиться з майстер-пароля через PBKDF2. Надійність захисту залежить від (a) ентропії майстер-пароля та (b) кількості ітерацій PBKDF2. Стандартна кількість ітерацій PBKDF2 у LastPass становила 5000 для старих облікових записів, доки її не підвищили до 100 100 у 2018 році. Облікові записи, створені до 2018 року, можуть досі мати низьку кількість ітерацій, якщо користувач не оновив її вручну — повідомлення LastPass про інцидент це документують. Слабкий майстер-пароль із низькою кількістю ітерацій можна зламати методом перебору в офлайні; сильний майстер-пароль зі 100 100+ ітераціями — ні, за сучасного обладнання.
Що робити, якщо ви маєте або мали обліковий запис LastPass
Крок 1: Експортуйте своє сховище LastPass з вебконсолі (Налаштування → Розширені параметри → Експорт). Крок 2: Імпортуйте його в Bitwarden або 1Password (обидва мають прямі імпортери LastPass, задокументовані на bitwarden.com/help/import-from-lastpass та 1password.com/help). Крок 3: Змініть паролі на кожному обліковому записі з високою вартістю розкриття — фінансовому, електронної пошти, основному соціальному. Крок 4: Увімкніть 2FA на кожному обліковому записі, який це підтримує. Крок 5: Видаліть обліковий запис LastPass з вебконсолі. Якщо ваш майстер-пароль був сильним (12+ випадкових символів або парольна фраза з 6+ слів), зашифроване сховище є обчислювально безпечним; ротація є запобіжним заходом. Якщо ваш майстер-пароль був слабким, вважайте цінні облікові записи скомпрометованими.
Чому витік торкнувся всієї категорії менеджерів паролів, а не лише LastPass
Витік даних LastPass спонукав дослідників безпеки уважніше придивитися до архітектурних рішень у всій категорії. Два конкретні висновки: (1) Кількість ітерацій шифрування не є однаковою — різниця між 5000 і 100 100 ітерацій PBKDF2 велика. Argon2id (сучасна KDF, яку використовують Bitwarden та інші) є ще помітно надійнішою. (2) Розкриття метаданих (URL-адреси облікових записів, адреси електронної пошти) — це реальна шкода для приватності, навіть коли вміст сховища залишається зашифрованим, оскільки метадані допомагають зловмиснику пріоритизувати цілі. Сучасні аудитовані менеджери обмежують метадані в шарі даних у стані спокою.
Джерела
Офіційні повідомлення LastPass про інцидент: blog.lastpass.com/posts/notice-of-recent-security-incident. Імпортер LastPass у Bitwarden: bitwarden.com/help/import-from-lastpass. Довідка 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Усі URL-адреси відкриті 2026-04-30.