בימים האחרונים יצאו החדשות העדכניות והנכונות לגבי הפריצה ל-Lastpass שאירעה לפני מספר חודשים. בהתחלה החברה לא ממש ששה לספר בהרחבה מה נפרץ ומה נגנב, ואילו עתה – יש יותר פרטים.
בחדשות בארץ הדברים סופרו בכלליות, עם מסקנה שגויה לצופים. תרשו לי להרחיב על כך.
ראשית, הפריצה ל-Lastpass היתה פריצה מורכבת שכללה גניבה הן של קוד המקור והן של ה"כספות". ה"כספות" הם בעצם מערכות שכוללות את הנתונים שלך – כתובת אתר שביקרת, שם משתמש וסיסמא שהקשת, וכן פרטי כרטיס אשראי (אם בחרת לשמור דרך Lastpass).
הבעיה החמורה, בניגוד למקרים אחרים בו גונבים רק קוד או דברים אחרים, זה שלפורצים יש פוטנציאלית דרך להזיק באופן מהותי למשתמשים. מבחינה טכנית, מכיוון שהפורצים גנבו את קוד המקור – הם יכולים לדעת איך הכספת מוצפנת.
אולם לשם פריצת ה"כספת" – הפורץ יצטרך את כתובת המייל והסיסמא. בלי הפרטים הללו, ה"כספת" היא לא יותר מאשר ערימת זבל דיגיטלי, ולכן – מי שהגדיר סיסמא מורכבת, סביר להניח שהפורצים לא יצליחו לפרוץ ל"כספת" הגנובה שלו. מצד שני, למי שהגדיר סיסמא כמו abcd1234! – יכול להיות ששם הפורצים כן יצליחו לפרוץ, אם הן ינסו את הסיסמא מול ערימה שלמה של כתובות מייל. מכיוון שהמידע גנוב ונמצא (בסבירות גבוהה) offline, הפורצים יכולים להריץ סקריפטים של שילוב כתובות מייל + Rainbow Table על מנת להצליח אולי לפרוץ לחלק מאותן "כספות".
האם כניסה לאתר או לתוסף ושינוי הסיסמא יעזור? הדבר יכול אולי לעזור במקרים עתידיים אם יפרצו ויגנבו "כספות" שוב, אולם לגבי מה שנגנב – שינוי סיסמא לא יסייע במאומה.
אז, אם יש לך חשבון ב-Lastpass ושמרת דרכו סיסמאות רבות לאתרים חדשים, אך סיסמת ה-master שלך (אותה סיסמא שמקישים כדי להיכנס ל-Lastpass) היתה סיסמא קלה לניחוש, יהיה מומלץ שתיכנס לתוך אותו Vault ותתחיל לחפש מהם האתרים החשובים שנמצאים, ולשנות סיסמא בכל אחד מהם. תהליך ארוך, מייגע – אבל זה המחיר לסיסמאות חלשות.
לסיכום: מדובר בפריצה חמורה מאוד שפוגעת במשתמשים פרטיים ועסקיים כאחד. המידע באותן "כספות" אינו חשוף ומוצפן בצורה רצינית, אך מכיוון שהפורצים גם גנבו את קוד המקור, יש סכנה שמשתמשים עם סיסמאות קלות יפלו קורבן לגניבת זהויות, מידע ופעילות פיננסית.