Personliga detaljer och lösenordsvalv som innehåller inloggningsuppgifter för miljontals användare är nu i händerna på brottslingar. Om du någonsin har använt lösenordshanteraren, LastPass, bör du ändra alla dina lösenord för allt nu. Och du bör omedelbart vidta ytterligare åtgärder för att skydda dig själv.
Vad hände under 2022 LastPass dataintrång?
LastPass är en lösenordshanteringstjänst som fungerar på en "freemium"-modell. Användare kan lagra alla sina lösenord och inloggningar för onlinetjänster med LastPass och komma åt dem via webbgränssnittet, genom webbläsartillägg och genom dedikerade smartphoneappar.
Lösenord lagras i "valv", som skyddas av ett enda huvudlösenord.
I augusti 2022 tillkännagav LastPass att brottslingar hade använt ett utvecklarkonto för att komma åt LastPass utvecklingsmiljö, källkod och teknisk information.
Ytterligare detaljer släpptes i november 2022, när LastPass lade till att vissa kunddata hade avslöjats.
Den verkliga allvaret av intrånget avslöjades den 22 december, när en LastPass blogginlägg noterade att brottslingar hade använt en del av informationen som erhölls i den tidigare attacken för att stjäla säkerhetskopior inklusive kundnamn, adresser och telefonnummer, e-postadresser, IP-adresser och delvis kreditkort tal. Dessutom lyckades de stjäla användarlösenordsvalv som innehöll okrypterade webbadresser och webbplatsnamn, samt krypterade användarnamn och lösenord.
Är det svårt för brottslingar att knäcka ditt LastPass-huvudlösenord?
Teoretiskt sett, ja, hackare borde ha svårt att knäcka ditt huvudlösenord. LastPass-blogginlägget noterar att om du använder deras rekommenderade standardinställningar, "skulle det ta miljontals år att gissa ditt huvudlösenord med allmänt tillgänglig lösenordsknäckningsteknik."
LastPass kräver att huvudlösenordet ska vara minst 12 tecken, och rekommenderar "att du aldrig återanvänder ditt huvudlösenord på andra webbplatser."
LastPass är dock unikt bland lösenordshanteringstjänster genom att det tillåter användare att ställa in ett lösenordstips för att påminna dem om sitt huvudlösenord om de skulle förlora det.
Detta uppmuntrar faktiskt användare att använda ord och fraser i ordlistan som en del av sitt lösenord, snarare än ett riktigt slumpmässigt starkt lösenord. Inget lösenordstips kommer att hjälpa om ditt lösenord är "lVoT=.N]4CmU".
LastPass lösenordsvalven har varit i händerna på brottslingar sedan en tid tillbaka, och även om de är krypterade kommer de så småningom utsättas för brute force attacker.
Angripare kommer att finna sitt arbete lättare tack vare existensen av massiva databaser med vanliga lösenord. Du kan ladda ner en 17GB lösenordslista som innehåller de 613 miljoner vanligaste lösenorden från haibeenpwned, till exempel. Andra lösenords- och autentiseringslistor finns tillgängliga på den mörka webben.
Att prova var och en av de halvmiljarder vanligaste nycklarna mot ett enskilt valv skulle ta minuter, och även om det är relativt få skulle vara de 12 tecken som krävs, är det troligt att cyberbrottslingar lätt kommer att kunna bryta sig in i en bra andel av valv.
Lägg därtill att datorkraften ökar år från år, och att motiverade kriminella kan använda distribuerade nätverk för att hjälpa till med insatsen; "miljoner år" verkar inte möjligt för de flesta konton.
Påverkar LastPass-intrånget bara lösenord?
Medan huvudnyheterna är att brottslingar kan ta sig tid att bryta sig in i ditt LastPass-valv, kan de utnyttja av dig på andra sätt genom att använda ditt namn, adress, telefonnummer, e-postadress, IP-adress och delvis kreditkort siffra.
Dessa kan användas för ett antal skändliga syften, inklusive spearphishing-attacker mot dig och dina kontakter, identitetsstöld, att ta krediter och lån i ditt namn, och SIM-bytesattacker.
Hur kan du skydda dig själv efter dataintrången i LastPass?
Du bör anta att inom några år kommer ditt huvudlösenord att äventyras och alla lösenord som finns i kommer att vara kända för brottslingar. Du bör ändra dem nu och använda unika lösenord som du aldrig har använt förut och som inte finns i någon av de vanliga lösenordslistorna.
När det gäller de andra databrottslingarna som erhållits från LastPass, du bör frysa din kredit, och anlita en kreditövervakningstjänst för att övervaka alla nya kort- eller låneansökningar i ditt namn. Om du kan ändra ditt telefonnummer utan alltför mycket besvär bör du också göra det.
Ta ansvar för din egen säkerhet
Det är lätt att skylla LastPass för dataintrången som fick dina lösenordsvalv och personliga uppgifter att hamna i händerna på brottslingar, men lösenordshanteringstjänster som säkrar ditt liv och hjälper dig att skapa unika kombinationer är fortfarande det bästa sättet att säkra din online liv.
Ett sätt att göra det svårare för potentiella tjuvar att få tag på dina viktiga data är att ha en lösenordshanterare på din egen hårdvara. Det är billigt, lätt att göra, och vissa lösningar, som VaultWarden, kan till och med distribueras på en Raspberry Pi Zero.
