Únik dat, který správce hesel LastPass oznámil začátkem prosince, byl vážnější než se původně zdálo. Firma v aktualizovaném příspěvku na svém blogu oznámila, že útočníci stáhli zašifrovaná data s uloženými hesly, ale také nezašifrovaná metadata obsahující řadu citlivých údajů.
K úniku podle firmy došlo přes cloudovou službu, ve které LastPass ukládal záložní kopii svých ostrých dat. Útočníci využili informace získané při útoku ze srpna 2022 k tomu, aby od jednoho ze zaměstnanců získali přihlašovací údaje a šifrovací klíče potřebné k rozšifrování části uložených dat.
Mezi uniklými údaji jsou data o uživatelích (jména, poštovní a e-mailové adresy, telefonní čísla a IP adresy, ze kterých uživatelé k LastPass přistupovali). Útočníci si stáhli také kopie „datových trezorů“, které obsahují uložená hesla a další data.
Některé údaje v nich LastPass ukládal šifrované (včetně toho nejpodstatnějšího, tedy uložených uživatelských jmen a hesel k webům), některé ale byly nešifrované. Z nich jsou patrně nejcitlivější adresy webů, ke kterým si uživatelé hesla ukládali.
To může být problém hlavně kvůli tomu, že uniklá metadata mohou útočníkům pomoci při následných phishingových útocích na uživatele. „LastPass vám nikdy nebude volat, mailovat nebo psát SMS s tím, abyste potvrdili své osobní údaje. A kromě situace, kdy se přihlašujete ke svému účtu, po vás nebude požadovat ani vaše hlavní heslo,“ upozorňuje firma na obezřetnost před možnými technikami tzv. sociálního inženýrství, které mohou útočníci použít.
Odhadnout nebo cracknout hlavní hesla (master passwords) by podle firmy mělo být v zásadě nemožné – ovšem jen v případě, že uživatelé dodrželi pravidla pro vytváření skutečně bezpečných hesel. K těm patří mít heslo unikátní a dostatečně dlouhé (LastPass od roku 2018 nepovoluje hesla kratší než 12 znaků) a nepřepoužívat je nikde jinde.