Pokud používáte LastPass, útočníci pravděpodobně mají kopii vašeho trezoru a všech vašich hesel.

Změna vašeho hlavního hesla nyní nepomůže, protože již mají kopii, kterou lze odemknout vaším starým heslem.

Pozadí:
LastPass, známý správce hesel, byl nedávno hacknut a všechna hesla, která služba uložila, byla ukradena. Hackerům se podařilo získat zálohu dat zákazníků služby, která obsahovala citlivé údaje a samozřejmě i hesla, i když byla šifrovaná. Dne 22. prosince LastPass oznámil na oficiálním blogu, že došlo k neoprávněnému vniknutí: Hackerům se podařilo získat zálohu, která obsahuje “jak nešifrovaná data jako URL adresy webových stránek, tak i všechna citlivá šifrovaná data jako uživatelská jména, hesla, bezpečnostní záchytné body a údaje pro automatické vyplňování formulářů”.

Co dělat

1.) Přestaň používat LastPass.
Nevíme, jak vážná je situace. Je možné, že útočníci mají stále přístup. Nepoužívejte tedy jen změnu hesel a jejich opětovné uložení v LastPass. Nejdříve se postaráme o naléhavé účty, a to ručně, a poté nastavíme nového správce hesel.

2.) Pokud máte virtuální aktiva a měli jste v LastPass seed frází, musíte se o to ihned postarat.
Vytvořte nové peněženky, zapište si seed fráze JEN na papír a přesuňte všechny své prostředky do nových peněženek.
Neztrácejte čas hledáním perfektního řešení pro ukládání, protože to je čas, který nemáte. Pokud útočník získá přístup k vašim seed frázím, může kdykoliv ukrást váš majetek a nemůžete to vrátit zpět. Nejprve zabezpečte svůj majetek a později přemýšlejte nad dlouhodobým uložením.

3.) Změňte hesla pro burzy a jiné finanční produkty.
Zaznamenejte si svá hesla nejdříve na papír. Používejte různé heslo pro každou burzu.

Zapněte 2FA a ujistěte se, že kód 2FA není uložen v LastPass. Pokud ano, odstraňte 2FA a nastavte ho v jiné aplikaci.

4.) Změňte hesla pro své e-mailové účty.
Každý, kdo má přístup k vašim e-mailům, může využít mechanismy “zapomenutého hesla” k přístupu k vašim dalším účtům, takže zajistěte, aby vaše e-maily byly bezpečné. Jedinečné heslo pro každou službu, zapište si ho na papír, použijte 2FA, který nebyl uložen v LastPass.

5.) Změňte také hesla a 2FA pro své Apple iCloud a Google účty.
Tato účty pravděpodobně mohou přistupovat k datům na vašem iPhone/Android prostřednictvím záloh a synchronizací cloudů a mohou vás potenciálně vyloučit, takže je měňte co nejdříve.

6.) Nyní máte zabezpečená svá nejdůležitější data, nastavte nový správce hesel.
Zvažte 1Password/Bitwarden/Keepass. Naším favoritem je Keepass. Také jsme o tom natočili video.

Nastavte jej s novým silným hlavním heslem. Ukládejte svá nová hesla v tomto správci. Žádné seed fráze! Ty jsou příliš kritické pro online správce hesel.

7.) Teď, když máte nového správce hesel, měli byste jej využít k změně hesel všech vašich nekritických účtů.
Ano, všech.
Pravděpodobně máte hodně, takže upřednostněnte ty důležité. Pracovní účty, úložiště souborů/fotek, sociální sítě.

8.) Nedávno jsme zveřejnili video “Bez hesel”. Určitě se na něj podívejte, protože tohle (USB bezpečnostní token) pomáhá zabránit, aby se vám něco takového znovu nestalo.