Tin tặc có khóa mã hóa của bạn không?

Công ty mẹ của dịch vụ quản lý mật khẩu, LastPass, vào cuối năm 2022 đã tiết lộ rằng kho mật khẩu của toàn bộ cơ sở khách hàng của họ hiện đã nằm trong tay bọn tội phạm, đã thông báo rằng các khóa mã hóa cho một số sản phẩm khác của họ cũng đã bị xâm phạm.

Điều này có ý nghĩa gì đối với người dùng của nó?

Vi phạm dữ liệu LastPass năm 2022 là gì?

LastPass và khách hàng của họ đã không có một năm tốt nhất vào năm 2022. Vào tháng 8, công ty đã thông báo trong một bài đăng trên blog thiếu hiểu biết rằng bọn tội phạm đã truy cập vào môi trường phát triển, mã nguồn và thông tin kỹ thuật của LastPass. Ngôn ngữ trấn an và gọi “hoạt động bất thường” và vụ việc là “một diễn biến”. Phần Câu hỏi thường gặp trấn an khách hàng rằng kho tiền, mật khẩu và mật khẩu chính của họ an toàn, đồng thời nêu rõ “chúng tôi không đề xuất bất kỳ hành động nào thay mặt cho người dùng hoặc quản trị viên của chúng tôi”.

Một tháng sau, sau cuộc điều tra hợp tác với Mandiant, bài đăng trên blog ban đầu đã được cập nhật, để an ủi thêm người dùng LastPass rằng “không có bằng chứng nào cho thấy sự cố này liên quan đến bất kỳ quyền truy cập nào vào dữ liệu khách hàng hoặc kho mật khẩu được mã hóa” và người dùng được bảo trợ hơn nữa với sự thừa nhận rằng, “sự cố an ninh dưới bất kỳ hình thức nào đều đáng lo ngại nhưng [we] muốn đảm bảo với bạn rằng dữ liệu cá nhân và mật khẩu của bạn an toàn dưới sự chăm sóc của chúng tôi.”

Tuy nhiên, vào cuối tháng 11 năm 2022, blog đã được cập nhật một lần nữa, với lời thừa nhận rằng những kẻ xâm nhập đã cố gắng lấy đi, “một số yếu tố trong thông tin khách hàng của chúng tôi”.

Cuối cùng, trong bản cập nhật tháng 12 năm 2022, LastPass thừa nhận thực tế là bọn tội phạm đã tìm cách đánh cắp kho dữ liệu cá nhân của hàng triệu khách hàng, chứa URL trang web và tên trang web không được mã hóa, cũng như tên người dùng và mật khẩu được mã hóa, cùng với dữ liệu sao lưu bao gồm tên khách hàng, địa chỉ và số điện thoại, địa chỉ email, địa chỉ IP và một phần số thẻ tín dụng.

Một lần nữa, LastPass đã tìm cách ngăn chặn thiệt hại về danh tiếng, nói rằng, “sẽ mất hàng triệu năm để đoán mật khẩu chính của bạn bằng công nghệ bẻ khóa mật khẩu thường có sẵn.”

Điều tồi tệ hơn sẽ đến với người dùng LastPass?

LastPass là một công ty độc lập, thuộc sở hữu của GoTo (nhà cung cấp SaaS, trước đây gọi là LogMeIn) và trong khi vi phạm LastPass đã thu hút được nhiều sự chú ý nhất, thì sự xâm nhập ban đầu là của dịch vụ lưu trữ đám mây bên thứ ba, được sử dụng bởi cả GoTo và LastPass. Vì LastPass đã bị xâm phạm nên GoTo cũng vậy. Các tác nhân đe dọa đã quản lý để lấy cắp các bản sao lưu được mã hóa từ cả hai công ty.

Vào ngày 23 tháng 1 năm 2023, GoTo đã đưa ra một tuyên bố trên blog của mình nói rằng họ có “bằng chứng rằng một tác nhân đe dọa đã lấy cắp khóa mã hóa cho một phần của các bản sao lưu được mã hóa” và thêm vào đó là cài đặt Xác thực đa yếu tố (MFA) của một tập hợp con nhỏ khách hàng của họ bị ảnh hưởng.

Điều này có nghĩa là bọn tội phạm có thể dễ dàng giải mã hàng hóa bị đánh cắp của chúng mà không cần phải đợi hàng triệu năm để làm như vậy.

Không rõ liệu các khóa mã hóa kho lưu trữ LastPass cũng đã bị đánh cắp hay chưa.

Các báo cáo về LastPass Vaults bị xâm phạm

Gần như ngay sau khi bản cập nhật tháng 12 được xuất bản, độc giả đã liên hệ với MUO cho rằng mật khẩu một lần chỉ được lưu trữ trong kho tiền LastPass đang bị bọn tội phạm sử dụng để truy cập tài khoản trực tuyến, dẫn đến các cuộc tấn công tráo đổi SIM.

Trên Twitter, người dùng đã báo cáo rằng các ví tiền điện tử đang bị tấn công và rút hết nội dung của chúng — những hạt giống đó được cho là chỉ được lưu trữ trong các kho tiền của LastPass.

Cho đến nay, LastPass vẫn chưa giải quyết những tin đồn này, cũng như những tiết lộ của công ty mẹ.

GoTo ít nhất đã bắt đầu liên hệ với những người dùng bị ảnh hưởng và tất cả mật khẩu đã được tự động đặt lại.

Thay đổi mật khẩu của bạn cho mọi thứ

Các dịch vụ quản lý mật khẩu tồn tại để giữ cho mật khẩu của bạn an toàn và không thể đoán được. Nếu bọn tội phạm có chìa khóa của kho tiền đó, thì mật khẩu của bạn là của bất kỳ ai tùy ý sử dụng.

Điều đầu tiên bạn nên làm là thay đổi mật khẩu cho mọi dịch vụ mà bạn từng truy cập trực tuyến. Nếu có thể, bạn cũng nên sử dụng tên người dùng và địa chỉ email duy nhất.

Giao phó những bí mật sâu kín nhất của bạn cho người khác bảo vệ không bao giờ là một ý kiến ​​hay. BitWarden là trình quản lý mật khẩu mà bạn có thể lưu trữ trên phần cứng của riêng mình và sẽ tạo tên người dùng, bí danh email và mật khẩu cho mỗi trang web bạn truy cập. Khi bạn chạy nó trên máy của chính mình, bạn không cần phải để mật khẩu của mình cho một công ty khác quản lý một cách đáng ngờ.