Jeśli używasz LastPass, napastnicy prawdopodobnie mają kopię twojego sejfu i wszystkich twoich haseł.

Teraz zmiana hasła głównego nie pomoże, ponieważ już mają kopię, którą można odblokować starym hasłem.

Tło:
LastPass, znany menedżer haseł, został niedawno zhakowany i wszystkie hasła przechowywane przez usługę zostały skradzione. Hakerom udało się uzyskać kopię zapasową danych klientów usługi, która zawierała dane poufne i oczywiście hasła, choć były one zaszyfrowane. W dniu 22 grudnia LastPass ogłosił na oficjalnym blogu, że doszło do nieautoryzowanego włamania: hakerom udało się uzyskać kopię zapasową, która zawiera “zarówno niezaszyfrowane dane, takie jak adresy URL witryn, jak i wszystkie poufne zaszyfrowane dane, takie jak nazwy użytkowników, hasła, wskazówki bezpieczeństwa i dane do automatycznego wypełniania formularzy.”

Co zrobić?

1.) Przestań używać LastPass.
Nie wiemy, jak zła jest sytuacja. Możliwe, że napastnicy nadal mają dostęp. Nie zmieniaj więc tylko swoich haseł i nie zapisuj ich ponownie w LastPass. Najpierw zajmiemy się pilnymi kontami, ręcznie, a potem skonfigurujemy nowego menedżera haseł.

2.) Jeśli posiadasz wirtualne aktywa i masz w LastPass frazy seed, musisz zająć się tym natychmiast.
Utwórz nowe portfele, zapisz frazy seed TYLKO na papierze i przenieś wszystkie swoje aktywa do nowych portfeli.
Nie trać czasu na szukanie idealnego rozwiązania przechowywania, bo to czas, którego nie masz. Jeśli napastnik ma dostęp do twoich fraz seed, może w każdej chwili ukraść twoje dobra, a ty nie będziesz w stanie tego cofnąć. Najpierw zabezpiecz swoje dobra, a potem pomyśl o długoterminowym przechowywaniu.

3.) Zmień swoje hasła do giełd i innych produktów finansowych.
Zapisz swoje hasła najpierw na papierze. Użyj innego hasła dla każdej giełdy.

Włącz 2FA i upewnij się, że kod 2FA nie jest zapisany w LastPass. Jeśli jest, usuń 2FA i skonfiguruj go ponownie w innej aplikacji.

4.) Zmień hasła do swoich kont e-mail.
Każdy, kto ma dostęp do twoich e-maili, może uzyskać dostęp do twoich innych kont za pomocą metod “zapomniałem hasła”, więc upewnij się, że twoje e-maile są bezpieczne. Unikalne hasło dla każdej usługi, zapisz je na papierze, używaj 2FA, które nie są zapisane w LastPass.

5.) Zmień też hasła i 2FA do swojego konta Apple iCloud oraz Google.
Te konta mogą mieć dostęp do danych na twoim iPhone/Android za pośrednictwem kopii zapasowych i synchronizacji w chmurze, więc mogą cię potencjalnie wykluczyć, więc zmień je jak najszybciej.

6.) Chroniłeś teraz swoje najważniejsze dane. Teraz skonfiguruj nowego menedżera haseł.
Rozważ 1Password/Bitwarden/Keepass. Naszym ulubionym jest Keepass. Opublikowaliśmy również wideo na ten temat.

Skonfiguruj go, używając nowego, silnego hasła głównego. Zapisz swoje nowe hasła w tym menedżerze. Bez fraz seed! Są one zbyt krytyczne dla menedżera haseł online.

7.) Teraz, gdy masz nowego menedżera haseł, powinieneś go użyć do zmiany haseł całego twojego konta niekrytycznego.
Tak, wszystkich.
Prawdopodobnie masz ich dużo, więc priorytetowo traktuj najważniejsze. Konta pracownicze, przechowywanie plików/zdjęć, media społecznościowe.

8.) Niedawno opublikowaliśmy wideo “Bez hasła”. Koniecznie je obejrzyj, bo to (USB-tokeny bezpieczeństwa) pomoże ci, aby coś takiego się już nie powtórzyło.