Tuy nhiên, những tin tặc đã giành được quyền truy cập vào hệ thống LastPass vào mùa hè này đã đánh cắp được mật khẩu. LastPass đã cung cấp thông tin cập nhật về cuộc tấn công.
Vì vậy, tin tặc không chỉ đánh cắp “thông tin kỹ thuật độc quyền” từ môi trường phát triển LastPass vào mùa hè này. Đã có theo cập nhật mới nhất cũng truy cập vào dữ liệu Vault đã sao lưu. Các URL mà người dùng nhập mật khẩu được lưu trữ trong đó không được bảo mật; tên người dùng, mật khẩu, ghi chú và dữ liệu biểu mẫu khác được lưu trữ dưới dạng mã hóa. Do đó, tin tặc không thể truy cập được dữ liệu này nếu không có mật khẩu chính.
Như thường lệ đối với các kho mật khẩu như LastPass, công ty không quản lý các mật khẩu chính đó. Chỉ người dùng cuối mới có mật khẩu chính của họ. Theo LastPass, điều này có nghĩa là người dùng không phải lo lắng về dữ liệu bị đánh cắp. Công ty thừa nhận rằng có những rủi ro đối với người dùng sử dụng mật khẩu không an toàn. Những kẻ độc hại có thể tìm ra mật khẩu chính thông qua kỹ thuật vũ phu và mở khóa dữ liệu.
LastPass: Thay đổi mật khẩu của bạn
Những người làm theo khuyến nghị của LastPass khi tạo mật khẩu chính — bao gồm mật khẩu có ít nhất 12 ký tự — gặp tương đối ít rủi ro. Dựa trên các kỹ thuật bạo lực hiện tại, sẽ phải mất hàng triệu năm để lấy lại được mật khẩu như vậy. Có một nhược điểm ở đó: người dùng đã tạo mật khẩu đó vào hoặc trước năm 2018 sẽ gặp nhiều rủi ro hơn. Dịch vụ đã triển khai thuật toán pbkdf2 mạnh hơn vào năm 2018. Mật khẩu được tạo trước ngày đó không bao giờ được chuyển sang giao thức này.
Người dùng có mật khẩu yếu hơn hoặc đã tạo khóa bảo mật trong hoặc trước năm 2018 nên thay đổi mật khẩu của các trang web được liên kết với LastPass. Không rõ liệu tất cả khách hàng của LastPass có bị ảnh hưởng bởi vụ hack hay không. Các khuyến nghị dường như áp dụng cho tất cả người dùng LastPass (cũ). Người dùng doanh nghiệp có thể ít bị ảnh hưởng hơn. Chỉ một 3 phần trăm người dùng doanh nghiệp đã được liên hệ để thực hiện hành động.
‘Coi chừng các cuộc tấn công lừa đảo’
LastPass cho biết họ đã báo cáo vụ vi phạm dữ liệu cho các cơ quan hữu quan. Các bước cũng đã được thực hiện để giảm nguy cơ xảy ra các cuộc tấn công trong tương lai. Ví dụ: công ty tuyên bố rằng tính bảo mật của tài khoản nhà phát triển đã được tăng cường và môi trường phát triển mới đã được đưa vào sử dụng. Lời giải thích đó vẫn chưa giải thích được lý do tại sao dữ liệu nhạy cảm như vậy lại có thể truy cập được thông qua tài khoản nhà phát triển.
Trong thời gian chờ đợi, hãy cảnh giác với các cuộc tấn công lừa đảo có thể xảy ra, LastPass cho biết. Trong cuộc tấn công vào mùa hè, dữ liệu khách hàng như địa chỉ email và số điện thoại cũng bị đánh cắp cùng với mật khẩu.
