Ha a LastPass-t használod, valószínűleg a támadók megszerezték a trezorod másolatát és az összes jelszavadat.

Most megváltoztatni a mesterjelszavadat nem segít, mert már van egy másolatuk, amit a régi jelszavaddal tudnak feloldani.

Háttér:
A LastPass-t, egy ismert jelszókezelőt, nemrégiben feltörték, és az összes jelszót, amit a szolgáltatás tárolt, ellopták. A hackerek sikeresen megszereztek egy adatmentést a szolgáltatás ügyfeleinek adataiból, amely érzékeny adatokat és persze jelszavakat is tartalmazott, még ha ezek titkosítva voltak is. December 22-én a LastPass hivatalos blogján jelentette be, hogy jogosulatlan behatolás történt: a hackereknek sikerült megszerezniük egy adatmentést, amely “mind titkosítatlan adatokat, mint például weboldal URL-eket, mind pedig minden érzékeny titkosított adatot, mint felhasználóneveket, jelszavakat, biztonsági megjegyzéseket és űrlapok automatikus kitöltési adatait” tartalmazza.

Mi a teendő?

1.) Ne használd többé a LastPass-t.
Nem tudjuk, mennyire súlyos a helyzet. Lehetséges, hogy a támadók még mindig hozzáférnek. Ne csak változtass jelszavakat és tárold őket újra a LastPass-ban. Először foglalkozzunk a sürgős fiókokkal, mégpedig manuálisan, majd állítsunk be egy új jelszókezelőt.

2.) Ha virtuális vagyontárgyaid vannak és Seed kifejezéseket tároltál a LastPass-ban, azonnal foglalkozz ezzel.
Hozz létre új pénztárcákat, írd le a Seed kifejezéseket CSAK papírra és helyezd át minden vagyontárgyadat az új pénztárcákba.
Ne vesztegesd az idődet tökéletes megoldás keresésére, mert nincs időd. Ha a támadónak hozzáférése van a Seed kifejezéseidhez, bármikor ellophatja a vagyonodat, és ezt nem vonhatod vissza. Először biztonságba helyezd a vagyontárgyakat, majd gondolkodj a hosszú távú tárolásról.

3.) Változtasd meg a jelszavaidat a tőzsdéken és más pénzügyi termékeken.
Írd le a jelszavaidat először papírra. Használj minden tőzsdéhez más-más jelszavat.

Kapcsold be a 2FA-t és győződj meg róla, hogy a 2FA-kód nincs a LastPass-ban tárolva. Ha mégis, távolítsd el a 2FA-t és állítsd be egy másik alkalmazásban újra.

4.) Változtasd meg a jelszavaidat az e-mail fiókjaidhoz.
Bárki, aki hozzáfér az e-mailjeidhez, érheti el az egyéb fiókjaidat a “Jelszó elfelejtése” mechanizmusokkal, ezért győződj meg róla, hogy az e-mailjeid biztonságban vannak. Szolgáltatásonként egyedi jelszó, írd őket papírra, használd a 2FA-t, ami nincs a LastPass-ban tárolva.

5.) A jelszavak és a 2FA-kódok kerüljenek megváltoztatásra az Apple iCloud- és Google-fiókjaidnál.
Ezek a fiókok valószínűleg hozzáférnek az iPhone/Android adataihoz a mentések és felhőszinkronizációk révén, és esetleg kizárhatnak, úgyhogy változtasd meg őket amilyen gyorsan csak lehet.

6.) A legfontosabb adataid most biztonságban vannak. Állíts be egy új jelszókezelőt.
Fontolóra veheted a 1Password/Bitwarden/Keepass használatát. A kedvencünk a Keepass. Már közzétettünk egy videót is erről.

Állíts be egyet, egy új, erős mesterjelszóval. Tárold az új jelszavaidat ebben a kezelőben. Nincsenek Seed kifejezések! Ezek túl kritikusak ahhoz, hogy egy online jelszókezelőben legyenek.

7.) Most, hogy van egy új jelszókezelőd, használd az összes nem kritikus fiókod jelszavának megváltoztatására.
Igen, mindet.
Valószínűleg sok van, ezért priorizáld a legfontosabbakat. Munkafiókok, fájl-/fényképtárolók, közösségi média.

8.) Nemrég közzétettük a “Jelszómentes” videót. Mindenképpen nézd meg, mert ez (USB biztonsági token) segít, hogy ilyesmi ne történjen veled újra.