Populární správce hesel LastPass hlásí bezpečnostní incident. „V pátek jsme odhalili a zablokovali podezřelou aktivitu v naší síti,“ uvádí firma na svém webu. Útočníci se podle ní nedostali k zašifrovaným údajům o uložených heslech, kompromitovány ale byly například e-mailové adresy uživatelů či autentifikační hashe.
„Věříme, že naše šifrování a bezpečnostní postupy jsou dostatečné, aby ochránily valnou většinu uživatelů,“ tvrdí firma. Všechny uživatele nicméně v nejbližší době pro jistotu vyzve ke změně jejich hlavního hesla do aplikace.
U účtů, které nejsou chráněny multifaktorovou autentizací, také budou všechny pokusy o přihlášení z nového zařízení nebo IP adresy vyžadovat e-mailové ověření.
„Nemusíte si měnit hlavní heslo, dokud vás k tomu nevyzveme,“ říká také firma. Zajímavá rada, kterou by uživatelé spíš poslechnout neměli – okamžitá změna hlavního hesla je určitě jistější. Měnit hesla k jednotlivým webům uložená v LastPass potřeba není.
Určitým problémem může být únik e-mailových adres, na které teď útočníci mohou posílat různé phishingové útoky. Pokud LastPass používáte, buďte v následujících týdnech obzvlášť opatrní na to, co vám do e-mailu přijde.
LastPass zároveň upozorňuje, že pokud jste hlavní heslo používali také k přihlašování na jiných webech, měli byste je změnit i tam. K tomu lze dodat jen jediné: pokud používáte hlavní heslo ke správci hesel zároveň někde jinde, koledujete si o pěkný průšvih – pokud by z dotyčného webu uniklo, dáváte útočníkovi klíč ke všem heslům uloženým ve správci. Takže: prosím, nedělejte to.