Suosittu LastPass-palvelu hakkeroitiin jo toisen kerran tänä vuonna – Käyttäjien salasanat päätyivät rikollisille

Salasanojen ja muiden arkaluontoisten tietojen tallentaminen "pilveen", eli jonkun toisen tietokoneeseen, ei ole viisasta. LastPass kertoo verkkosivuillaan, että sillä on yli 33 miljoonaa käyttäjää sekä yli 100 000 yritystä asiakkainaan.

Teknologia

Suosittu salasanapalvelu LastPass on joutunut tänä vuonna jo kaksi kertaa tietomurron kohteeksi. Palvelun emoyhtiö yritti piilotella omaa ilmoitustaan asiasta.

Selvityksessä on käynyt ilmi, että rikolliset saivat toisella kerralla haltuunsa salaamattomina muun muassa asiakkaiden yhtiötiedot, laskutusosoitteet, sähköpostiosoitteet, puhelinnumerot ja ip-osoitteet eli käyttäjän yksilöivät verkko-osoitteet.

Murtautujat saivat myös haltuunsa salakirjoitetun tietokannan, joka sisältää verkkosivuille kirjautumiseen tarvittavat sähköpostiosoitteet ja salasanat eli juuri ne tiedot, joita LastPassin on määrä suojata.

Vaikka kirjautumistiedot on salakirjoitettu 256 bit AES ‑salausmenetelmällä, niiden murtaminen on mahdollista brute force ‑menetelmällä. Mitä lyhyempi pääsalasana on, sitä nopeammin se murtuu ja paljastaa kaikki sen takana olevat kirjautumistiedot.

Verkkorikolliset kokeilevat rutiininomaisesti tietomurroissa paljastuvilla käyttäjätunnus/salasanapareilla sisäänkirjautumisia muihin palveluihin. Tämä hyökkäystapa tunnetaan nimellä credential stuffing tai password spraying.

Käyttäjät ovat myös vaarassa joutua tietojenkalastelun ja muiden huijausyritysten kohteeksi, koska heidän yhteystietonsa ovat hyökkääjillä tiedossa.

Näin teet ja hallitset salasanoja turvallisesti:

  • Salasanojen tulee olla vaikeasti arvattavia ja yli 10 merkin pituisia, sisältäen isoja ja pieniä kirjaimia, erikoismerkkejä ja numeroita.
  • Samaa salasanaa ei tule käyttää useassa eri kohteessa.
  • Muistamisen sijaan salasanat tulee säilyttää paikallisesti omalla kryptatulla tietokoneella. Salasanojen säilömiseen ja generointiin kannattaa käyttää pilvipohjaisten ratkaisujen sijaan avoimen koodin ohjelmia, kuten KeepassXC.
  • GNOME-pohjaisissa Linux-jakeluissa on valmiina oma salasanojen hallintaohjelma, jonka saa ladattua kaikilla muillakin Linux-jakeluilla.
  • Applen, Googlen, Microsoftin ja muiden monikansallisten amerikkalaisyhtiöiden tarjoamiin ratkaisuihin ei tule luottaa.

Lähde: IS

Avoin koodi Linux Rikos Teknologia Tietoturva

Keskustelu

Ei kommentteja

Partisaani ei väitä eikä takaa, että kommenttien sisältämä tieto olisi virheetöntä tai täydellistä.

Vastaa

Kommentit julkaistaan viiveellä eivätkä näy heti.

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Lue seuraavaksi