Giải thích vụ rò rỉ LastPass 2022: Những gì bị đánh cắp, điều đó có nghĩa gì, và cách chuyển đi
Vào tháng 8 / tháng 11 năm 2022, kẻ tấn công đã đánh cắp các bản sao lưu đám mây của LastPass bao gồm các kho người dùng đã mã hóa cộng với siêu dữ liệu chưa mã hóa. Đây là những gì được ghi nhận và những gì cần làm ngay nếu bạn vẫn còn tài khoản LastPass.
Dòng thời gian được ghi nhận
Theo các thông báo sự cố được LastPass công bố: vào tháng 8 năm 2022, kẻ tấn công đã xâm phạm máy tính của một nhà phát triển LastPass và truy cập mã nguồn. Vào tháng 11 năm 2022, kẻ tấn công đã dùng thông tin xác thực từ sự cố tháng 8 để truy cập các bản sao lưu đám mây trong dịch vụ lưu trữ đám mây bên thứ ba của LastPass. Các bản sao lưu đó chứa các kho khách hàng đã mã hóa cộng với siêu dữ liệu chưa mã hóa — URL của kho, địa chỉ email tài khoản, thông tin thanh toán. LastPass công bố vụ đánh cắp dữ liệu vào ngày 22 tháng 12 năm 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Mã hóa thực sự bảo vệ điều gì
Các kho LastPass được mã hóa bằng AES-256, với khóa được suy ra từ mật khẩu chính qua PBKDF2. Độ mạnh của lớp bảo vệ phụ thuộc vào (a) entropy của mật khẩu chính và (b) số vòng lặp PBKDF2. Số vòng lặp mặc định của PBKDF2 ở LastPass là 5.000 đối với các tài khoản cũ trước khi được tăng lên 100.100 vào năm 2018. Các tài khoản tạo trước năm 2018 có thể vẫn còn số vòng lặp thấp trừ khi người dùng đã nâng cấp thủ công — các thông báo sự cố của LastPass ghi nhận điều này. Một mật khẩu chính yếu với số vòng lặp thấp có thể bị dò vét cạn ngoại tuyến; một mật khẩu chính mạnh với 100.100+ vòng lặp thì không thể, với phần cứng hiện nay.
Cần làm gì nếu bạn có hoặc từng có tài khoản LastPass
Bước 1: Xuất kho LastPass của bạn từ bảng điều khiển web (Settings → Advanced Options → Export). Bước 2: Nhập vào Bitwarden hoặc 1Password (cả hai đều có công cụ nhập trực tiếp từ LastPass được ghi tài liệu tại bitwarden.com/help/import-from-lastpass và 1password.com/help). Bước 3: Đổi mật khẩu trên bất kỳ tài khoản nào có chi phí lộ lọt cao — tài chính, email, mạng xã hội chính. Bước 4: Bật 2FA trên bất kỳ tài khoản nào hỗ trợ. Bước 5: Xóa tài khoản LastPass khỏi bảng điều khiển web. Nếu mật khẩu chính của bạn mạnh (12+ ký tự ngẫu nhiên hoặc cụm mật khẩu 6+ từ), kho đã mã hóa là an toàn về mặt tính toán; việc đổi mật khẩu là biện pháp phòng ngừa. Nếu mật khẩu chính của bạn yếu, hãy coi các tài khoản giá trị cao như đã bị xâm phạm.
Vì sao vụ rò rỉ ảnh hưởng đến cả nhóm trình quản lý mật khẩu, không chỉ riêng LastPass
Vụ rò rỉ LastPass đã thúc đẩy các nhà nghiên cứu bảo mật xem xét kỹ hơn các lựa chọn kiến trúc trong toàn bộ nhóm sản phẩm này. Hai bài học cụ thể: (1) Các số vòng lặp mã hóa không phải đều như nhau — chênh lệch giữa 5.000 và 100.100 vòng lặp PBKDF2 là rất lớn. Argon2id (KDF hiện đại mà Bitwarden và những trình khác sử dụng) lại mạnh hơn đáng kể. (2) Việc lộ siêu dữ liệu (URL của các tài khoản, địa chỉ email) là một thiệt hại thực sự về quyền riêng tư ngay cả khi nội dung kho vẫn được mã hóa, vì siêu dữ liệu giúp kẻ tấn công ưu tiên các mục tiêu. Các trình quản lý hiện đại đã kiểm toán hạn chế siêu dữ liệu ở lớp dữ liệu lưu trữ tĩnh (data-at-rest).
Nguồn
Thông báo sự cố chính thức của LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Công cụ nhập LastPass của Bitwarden: bitwarden.com/help/import-from-lastpass. Trợ giúp 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Tất cả URL được truy cập ngày 2026-04-30.