szerző:
hvg.hu
Tetszett a cikk?
tech

Még augusztusban a LastPass szoftver forráskódja és néhány műszaki információja került illetéktelen kezekbe. Most kiderült, a rendszerbe behatolók az ügyfelek jelszavait és adatait tároló széfeket is megszerezhették, melyek ugyan titkosítva vannak, de egy gyenge mesterjelszó esetén veszélyben vannak.

Nemrég hackertámadás érte a LastPass nevű jelszókezelőt, és most a cég nyilvánosságra hozta, hogy milyen adatokhoz férhettek hozzá a támadók.

Ezek pedig joggal adhatnak okot az aggodalomra: mint közölték, ezek között a titkosított, úgynevezett széfek (vaults) is ott vannak, amelyek a felhasználók jelszavait és egyéb titkos adatait is tárolják.

Karim Toubba, a LastPass vezérigazgatója egy blogbejegyzésben közölte, a behatolók másolatot készítettek az ügyfelek széfjeinek adatairól – ezekhez egy alkalmazottól ellopott jelszóval férhettek hozzá. A kiszivárgott adatok között lehettek titkosítottak és titkosítatlanok is, utóbbiak közé sorolhatóak a széfekben tárolt webcímek is. Azt nem tudni, hogy az ellopott adatok mikoriak.

A LastPass állítja: az ügyfelek széfjei titkosítva vannak, azokhoz kizárólag a felhasználók férhetnek hozzá az úgynevezett mesterjelszavak segítségével – ezt pedig csak a tulajdonosaik ismerhetik. A kiberbűnözők azonban használhatnak egy úgynevezett „brute force” megoldást, mellyel feltörhetik ezeket a széfeket, így hozzáférve azok tartalmához. Ez főleg azoknál lehet valós veszély, akik könnyen kitalálható jelszót állítottak be – a komplexebb, többféle karakterből álló jelszavak feltörése nehezebb feladat lehet.

A vezérigazgató még arra is kitért, hogy a bűnözők rengeteg ügyféladathoz – nevekhez, e-mail-címekhez, telefonszámokhoz, számlázási információhoz – is hozzáférhettek.

A TechCrunch beszámolója szerint a felhasználóknak érdemes lecserélni a jelenlegi LastPass mesterjelszót egy új, egyedi jelszóra. Akik azonban úgy vélik, hogy korábban gyenge jelszót használtak a széfük titkosítására, azoknak többet is meg kell tenniük, hogy biztonságban maradjanak: a LastPassban elmentett valamennyi jelszót újra kell cserélniük minden szolgáltatásban. Érdemes lehet egy prioritási listát készíteni, aminek az elejére a bankszámlákat és az e-mail-fiókokat célszerű venni, valamint a közösségi oldalakat.

Akik kétfaktoros hitelesítést használtak, sokkal nagyobb biztonságban lehetnek: még ha a támadók fel is törik a széf jelszavát, szükség van annak feloldásához egy másodlagos hitelesítő eszközre is, ami jó eséllyel nincs a támadók birtokában.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!

Megnézem az ajánlatokat
hacker adatok hackertámadás jelszavak feltörés adatok tárolása széfek adatok titkosítása tech LastPass LastPass Password Manager vaults Karim Toubba