Letos avgusta se je zgodil obširen hekerski napad ravno na tisto stran, za katero si res, res ne bi želel, da nekdo izmakne podatke. Gre za spletno stran LastPass, ta pa je v bistvu nekakšno centralno zbirališče gesel uporabnikov, ki si radi za brskanje po spletnih straneh omislijo sila komplicirana in varna gesla, seveda pa si je vse te kombinacije težko zapomniti. Zato vse te pomembne podatke shraniš na LastPass in jih imaš tako vedno pri roki, kar je priročno, a stvar se zalomi, če ravno to stran nato napadejo hekerji.
To se je tudi zgodilo letos avgusta, direktor podjetja Karim Toubba pa je takrat zapisal, da je bil nek neznanec par dni prisoten v njihovi mreži, a da mu je uspelo izmakniti samo nekaj tehničnih informacij in izvorne kode, podatki uporabnikov pa so ostali zaščiteni.
Karim pa je zdaj priznal, da je bil precej bolj obsežen kot pa je sprva priznal. Napadalec naj bi preko enega delavca prišel do varnostne kopije “vaulta” oziroma trezorja, ta pa je bila shranjena v oblaku. To je dokaj uničujoč vdor, saj je ta trezor držal šifrirane in nešifrirane podatke uporabnikov v binarnem formatu.
Karim priznava, da je to dokaj hud problem, a pravi, da trenutna gesla uporabnikov niso ogrožena. A po drugi strani je Karim opozoril, da se shranjena gesla da dešifrirati, vendar pa potrebuje heker dostop do tistega glavnega, “master” gesla, ki pa ga LastPass ne drži v podatkovni bazi in ga pozna samo uporabnik. Tudi to pa ni povsem varno, saj Karim pravi, da bi znali hekerji “master” geslo pridobiti preko surovega napada, kjer računalnik preprosto testira različne kombinacije črk, številk in znakov, dokler ne izgotovi pravega gesla. To zna trajati celo večnost ali pa kratek čas, če si je lastnik nastavil bolj šibko glavno geslo.
Med izmaknjenimi šifriranimi podatki se nahajajo še imena podjetij, e-poštni naslovi, IP naslovi in telefonske številke. LastPass sicer noče zagnati vsesplošne panike, kjer bi uporabnikom svetoval menjavo vseh gesel, ampak po drugi strani se izogiba nekaterim vprašanjem, kot je denimo koliko je bila sploh stara izmaknjena varnostna kopija trezorja.
Če ste uporabnik te strani in ste notri vnesli kakšna res občutljiva gesla, potem priporočamo menjavo glavnega in tudi vseh drugih gesel, saj boste samo tako povsem zavarovani, hkrati pa si priskrbite dodatno overjanje 2FA, kjerkoli je pač to možno.
Moja gesla so vse samo na Microsoftovem authenticatorju … večinoma so skoraj povsod ista, so pa tudi gesla, ki ne smejo biti ista ali podobna ….