Je čas priznať sa: LastPass už nie je rovnaký. Tu je dôvod, prečo by ste mali prejsť na iný trezor hesiel
Rôzne / / April 09, 2023
Videli ste správy, že hackeri prenikli do LastPass a získali heslá používateľov? Toto je len špička ľadovca.
Lifehacker je miesto, kde môžete vždy získať užitočné rady. O zdraví, športe, práci, technológiách – veľa píšeme a často dávame odporúčania. Nie všetky však obstoja v skúške času. Dokonca aj tie najúžasnejšie a najdokonalejšie služby „vyblednú“, gadgety prestanú potešiť a obľúbené životné hacky jednoducho stratia svoj význam.
Čo všetko nás napokon sklamalo, si povieme v novej sérii článkov. A naším prvým hrdinom je správca hesiel LastPass, ktorý je už dávno hotový.
Kedysi bol LastPass naozaj dobrý
LastPass je služba s dlhou históriou. Jeho prvá verzia bola vydaná v roku 2008. A o rok neskôr sa stal jedným z lídrov vo svojom segmente. Mnohokrát sa nazývalo najlepšie riešenie na ukladanie hesiel – najpohodlnejšie, najfunkčnejšie a najspoľahlivejšie. A dlho to tak bolo.
Lifehacker svojim čitateľom opakovane odporučil LastPass. Koniec koncov, služba je skutočne univerzálna, s rozšíreniami pre všetky populárne prehliadače a mobilné aplikácie. Všetky heslá v ňom sú zašifrované, uložené v „cloude“ a dajú sa synchronizovať medzi zariadeniami.
Najdôležitejšie je, že LastPass bol rýchly a ponúkal všetko, čo by ste mohli potrebovať, vrátane komplexného generátora hesiel, dvojúrovňové overenie a výplň formulára, aby ste nemuseli nič písať ručne. A pre jeden typ zariadenia bola služba bezplatná. No, je to v pohode?
Problémy začali už dávno. A je to celá snehová guľa
Určite ste už videli novinku LastPass hacknutý a hackerom sa to podarilo dostať zašifrované trezory hesiel svojich klientov. Toto sú udalosti minulého roka, ktoré, ako by sa zdalo, značne pošramotili reputáciu služby. Ak sa ale na problém pozriete globálnejšie, tak toto zďaleka nie je prvá rana pre LastPass.
Problémy so servisom sa začali v roku 2011. Potom vývojári objavil anomália v prichádzajúcej sieťovej prevádzke a potom podobná anomália v odchádzajúcej. Správcovia nenašli žiadne známky narušenia bezpečnosti, no nedokázali určiť ani príčinu pohybu údajov tam a späť.
Spoločnosť neuznala žiadne oficiálne straty, no pre službu na ochranu mimoriadne cenných dát bol hovor viac než alarmujúci.
Aby to bolo bezpečné, LastPass potom od niektorých používateľov vyžadoval, aby zmenili svoje hlavné heslá. A generálny riaditeľ spoločnosti sa musel ospravedlniť za „prílišnú paniku“.
Toto bol len prvý signál, po ňom nasledovali ďalšie – s výraznejším poškodením dobrého mena služby. Takže v roku 2015 došlo k ďalšiemu podozrivému incidentu. Ďalšia podivná aktivita na sieti spoločnosti viedla k úniku adries Email, rady pre používateľské heslá a niektoré hashované údaje. Vývojári potvrdil hacking, ale ubezpečil, že zašifrované informácie zostali pod zámkom.
Ďalej viac. V roku 2016 bola v LastPass zraniteľnosť, ktorá umožňovala prístup k nešifrovaným údajom objavil nezávislá firma pre online bezpečnosť Zistiť. A v rokoch 2017 a 2019 našiel biely hacker Tavis Ormandy niekoľko dier v rozšírení služby pre Chrome. Jedna zo zraniteľností povolený útočníkom získať používateľské meno a heslo.
Ďalšia Achillova päta spojená s ukladaním hlavného hesla do lokálneho súboru bola objavil v roku 2020. A v roku 2021 odborníci nájdené sledovače tretích strán v aplikácii LastPass pre Android. Tak sme sa dostali do roku 2022, kedy došlo k celej sérii incidentov. Jedno je horšie ako druhé:
- Votrelec prvý prijaté neoprávnený prístup k častiam vývojového prostredia LastPass, zdrojovému kódu a technickým informáciám.
- Potom to tento muž zvládol hacknúť počítač staršieho inžiniera a získal jeho hlavné heslo.
- Potom hacker prenikol do firemného trezoru používaného hlavnými inžiniermi. Existovali záložné kópie klientskych súborov.
- No ako čerešnička na torte - prijímanie prístup do databázy používateľov zo dňa 14. augusta 2022, ako aj niekoľko záloh trezoru hesiel.
Po tomto silnom útoku LastPass tvrdil, že väčšina jeho zákazníkov nemusí podniknúť žiadne kroky. Ale nezávislí odborníci odporúčané všetkým používateľom služby, aby si zmenili svoje heslá a boli obzvlášť opatrní pred možným phishing útokov.
To všetko viedlo k odlivu zákazníkov, ktorí sa dlho neodvážili prejsť na iné úložiská dúfajúc v bezpečnosť svojich dát v stenách LastPass. Zároveň posledný z nás odmietol službu.
Ak ste stále na LastPass, potom je čas spustiť
Chráňte seba a svoje údaje – zmeňte správcu hesiel. Prejdite z LastPass na alternatívnu službu – ich nemálo. Ak chcete niečo také funkčné a výkonné, existujú 1Password, Bitwarden alebo NordPass. Ak chcete niečo skromnejšie, čo priťahuje oveľa menšiu pozornosť útočníkov, pozrite sa bližšie na Enpass, Dashlane alebo Keeper.
Redakcia Lifehacker používa na osobné heslá najmä Bitwarden a 1Password. Tieto služby majú všetky potrebné funkcie a pri prvej možnosti za ne nemusíte platiť. 1Heslo je dôveryhodnejšie, ale stojí to peniaze.
Čo používate na ukladanie hesiel a prečo? Povedzte v komentároch.
Prečítajte si tiež🧐
- 6 dôvodov, prečo neukladať heslá v prehliadači
- Správa NordPass odhaľuje, že mnohí vedúci pracovníci používajú smiešne jednoduché heslá
- Ako vložiť heslo do systému Windows, odstrániť ho a obnoviť ho, ak ho náhle zabudnete