Používate aplikáciu LastPass na spravovanie hesiel? Vaše údaje mohli byť ukradnuté

Relatívne známa aplikácia LastPass, ktorá má na Google Play až cez 10 miliónov stiahnutí, čelí vážnemu problému. Približne polroka dozadu sme sa dozvedeli, že sa spoločnosť GoTo Technologies USA, Inc., vlastniaca spomínanú službu, stala obeťou hackerov. Podrobnosti sa dozvedáme až teraz, z oficiálneho vyhlásenia. Kybernetickým útočníkom sa podarilo skopírovať celý cloud s uloženými heslami.

Heslá miliónov používateľov sa ocitli v nesprávnych rukách

Pôvodne útok z augusta nevyzeral až tak hrozivo. Hackeri mali ukradnúť len nejaké technické informácie a zdrojový kód. Nevedno, či spoločnosť vlastniaca aplikáciu pravdu zakryla, alebo jednoducho podcenili útočníkov. Vďaka získaným dátam boli totiž schopní následne získať potrebné vstupné údaje na skopírovanie cloudového serveru, ktorý firma využívala na ukladanie používateľských informácií. Stadiaľ dostali metadáta v podobe názvov spoločností, mien, fakturačných adries, e-mailových adries, telefónnych čísel a IP adries.

Bohužiaľ, tam sa problém ešte len začína. Hackeri momentálne vlastnia skopírovaný cloud plný hesiel, na jeho otvorenie ale potrebujú špeciálny kľúč. Údaje sú totiž zabezpečené 256-bitovým šifrovaním AES. Spomínaný potrebný kľúč je pre každého používateľa iný. Ide o akési hlavné heslo, ktoré má každý účet iné a podľa tvrdení spoločnosti nie je nikde uložené. Dobrou správou vyzerá byť aj fakt, že údaje z platobných kariet by sa nemali nachádzať na ukradnutom serveri.

Odporúčané kroky

Podľa LastPass neexistuje zatiaľ žiadny dôkaz, že by šifrovanie bolo prelomené. Pomocou známych metód by manuálne dekódovanie trvalo prakticky milióny rokov. Pokiaľ ale nespĺňali vaše údaje nasledujúce body, je čas spozornieť:

• hlavné heslo malo minimálne 12 znakov
• iterácie obmeny hesiel boli nastavené na hodnotu 100 100 (údaj viete zistiť na svojom účte v pokročilých nastaveniach)
• hlavné heslo ste nepoužívali na žiadnej inej webstránke/službe

Ak náhodou ste niektoré z bodov nedodržali, odporúčame kompletne zmeniť všetky dôležité heslá. Firma už informovala podnikateľské účty zasiahnuté únikom údajov, ktoré nespĺňali potrebné podmienky a vyzvala ich na zmeny. Ak patríte do tejto kategórie, treba si skontrolovať e-mailovú schránku.

Keďže útočníci majú k dispozícii všetky ostatné údaje, môžu na vás pravdepodobne vyskúšať phishingový útok. Dávajte si teda pozor na podvodné e-maily a SMS. Varovanie od LastPass konkrétne uviedlo, že vaše hlavné heslo okrem prihlasovania sa na účet nikam nezadávajte.