LastPass акыркы үч айдын ичинде экинчи жолу хакердик чабуулга кабылды. Аны дүйнө жүзү боюнча 30 миллиондон ашык адам колдонот. Сырсөз менеджери LastPass хакерлер колдонуучу сырсөздөрүнүн шифрленген көчүрмөлөрүн жана башка купуя маалыматтарды, анын ичинде колдонуучулардын эсеп-кысап даректерин, телефон номерлерин жана IP даректерин уурдап кетишкенин мойнуна алды. Адегенде система кайра август айында, ноябрдын аягында – декабрдын башында кандай маалыматтар уурдалганы тууралуу маалымат пайда болгон, эми компаниянын блогунда чоо-жайы жарыяланды.
Сырсөз менеджери LastPass бузулду, ал хакерлердин өздөрү үчүн абдан ийгиликтүү болуп чыкты, алар колдонуучунун маалыматтарына кире алышты, бирок так эмне экени азырынча белгисиз. Кыязы, алар азыр өз профилдериндеги сервис дүкөнүнүн колдонуучуларынын сырсөздөрүнө кире алышат.
LastPass хакерлиги жана колдонуучунун маалыматтарынын бузулушу тууралуу маалыматты кызматтын өкүлдөрү да тастыкташкан. Бирок, алар агып кетүүнүн көлөмүн да, чабуулчулардын колуна түшкөн маалыматтын мүнөзүн да кылдаттык менен жашырышат, ошондуктан азыр дүйнө жүзү боюнча миллиондогон адамдар болгон бардык LastPass колдонуучулары коркунучта. EarthWeb порталынын маалыматы боюнча, 2022-жылдын октябрына карата LastPass колдонуучу базасы 33 миллион адамды түзгөн.
Материал чыккан учурда, LastPass өкүлдөрү ырасташкан жок, бирок алардын жеке онлайн сактагычында жайгашкан колдонуучулардын сырсөздөрү чыгып кеткенин танышкан жок. Бирок, хакердик чабуулдун ушундай натыйжасы болуу коркунучу бар. Мындан тышкары, LastPass 14 жыл ичинде сырсөздөрдүн бир нече жолу ачыкка чыгышына жол бергендигин эске алуу менен, бул учурда тобокелдик жогору.
Мен эмне кылышым керек?
Колдонуучулар эмне кылышы керек болгон биринчи нерсе булутта сакталган сырсөздөрдү көрүү жана чабуулчулар аларга атайын жеткенге чейин аларды мүмкүн болушунча тезирээк өзгөртүү. Көп адамдар, мисалы, мындай менеджерлерде Интернет-банктан же корпоративдик электрондук почтадан сырсөздөрдү сакташат.
Экинчи кадам - LastPass алмаштыруучу болбосо, жок дегенде оффлайн режиминде иштегендердин ичинен камдык сырсөз менеджерин табуу. Мындай программалар сырсөздөрдүн маалымат базасын түздөн-түз колдонуучунун түзмөгүндө сактайт (көбүнчө шифрленген түрдө), бул анын мазмунунун сыртка чыгып кетүү коркунучун кыйла азайтат.
Сырсөз менеджерлери колдонуучуларга өздөрүнүн колдонуучу аттары менен сырсөздөрүн ар кандай сайттарда бир жерде сактоого мүмкүндүк берет - колдонуучу түзгөн башкы сырсөз менен кирүү. Last Pass башкы сырсөздү сактабайт же жок кылбайт. Башка шифрленген маалыматтар "колдонуучунун башкы сырсөзүнөн алынган уникалдуу шифрлөө ачкычы" аркылуу гана алынышы мүмкүн. Бирок компания кардарларга социалдык инженерия, фишинг жана башка маалымат алуу ыкмаларынын курмандыгы болуп калышы мүмкүн экенин эскертти. Мындан тышкары, хакерлер башкы сырсөздү алуу жана шифрленген сактагычта жайгашкан башка маалыматтарды чечмелөө үчүн катаал күч колдонушу мүмкүн. Бирок, LastPass чабуулчуларга жалпыга жеткиликтүү хакердик ыкмаларды колдонуу менен сырсөздү табыш үчүн "миллиондогон жылдар" талап кылынат деп ырастайт.
Компания кибер коопсуздукту камсыз кылган Mandiant компаниясы окуяны иликтеп жатканын жана LastPass өзү бүт иш чөйрөсүн толугу менен калыбына келтирип жатканын айтты - бул кыйыр түрдө хакерлер коддун жана башка маалыматтардын олуттуу бөлүктөрүнө ээ болгонун көрсөтүп турат.
LastPass ошондой эле тергөө жүрүп жатканын, компания укук коргоо органдарына жана тиешелүү көзөмөл органдарына окуя тууралуу кабарлаганын билдирди. Ал өзү колдонуучуларга башкы сырсөздү 12 белгиден кем эмес кылып түзүүнү, сырсөзгө негизделген ачкычтарды чыгаруу функциясынын (PBKDF2) ачкыч генерациялоо стандартынын жөндөөлөрүн өзгөртүүнү жана, албетте, башка сайттарда башкы сырсөздү колдонбоону сунуштайт. Учурдагы кененирээк сунуштар берилген кызмат блогунда.
Сиз Украинага орус баскынчыларына каршы күрөшүүгө жардам бере аласыз. Мунун эң жакшы жолу - Украинанын Куралдуу күчтөрүнө каражат берүү Savelife же расмий баракчасы аркылуу NBU.