https://arstechnica.com/information-technology/2022/12/lastpass-says-hackers-have-obtained-vault-data-and-a-wealth-of-customer-info/

 

사용자명이나 비밀번호는 마스터 비밀번호로 암호화되어 저장되어 있다고는 하나 안심할 수 없는것이

 

1. 이번 해킹은 8월달 발생했던 소스코드 유출시 발생한 것이라고 합니다. 이때 계정정보/회사명/사용자명/청구주소/이메일주소/전화번호/IP는 물론이고 아이디/비밀번호가 저장된 고객 저장소의 복제본까지 유출되었다고 합니다.

2. LastPass에 따르면 암호화된것은 ID/비번뿐이고 사이트 주소, 이름은 암호화되지 않았습니다. 특히, 해당 계정정보 관련 메모도 암호화되어 있지 않다는 얘기도 있습니다.

3. 즉 마스터 비밀번호가 이미 유출된 적이 있었다면 암호화도 무용지물이 될수 있습니다. 물론 이건 유출된 비밀번호를 그냥 사용한 고객 과실이지만...

4. 해킹으로 웹사이트에 변조가 없었다고 장담하기 힘듭니다. 즉, 최악의 경우 마스터 비밀번호를 입력하는 페이지가 해킹되어 암호화 정보가 해커에게 전송했을 가능성도 있습니다.

5. 무엇보다도 LastPass에만 저장한 계정정보가 털렸다는 증언이 있습니다. 마스터 비밀번호도 강력한 것을 사용중이였다고 합니다.(16글자 영문특문숫자 조합)

 

이번 일로 LastPass는 신뢰를 완전히 잃어버리게 되었네요.

 

  • Lv36

    좀더 구체적으로는, "LastPass에 저장해 둔 모든 비번을 변경하세요."

    예전부터 프로그램 안정성도 극악이고 UI도 개판이라 도대체 뭔 생각으로 운영하는 서비스인가 했는데 결국 큰 일이 터지는군요. 어설픈 플러그인보다 차라리 크롬이나 파이어폭스 등 브라우저에서 기본 제공하는 비번 저장 기능을 사용하는 것이 훨씬 안전합니다. 많은 사람이 검증한 기능이고, 평문으로 저장하는 것도 아니니까요.

    그러나 이렇게 비번 저장 프로그램이 털리는 경우가 있더라도 사람이 기억할 수 있는 서너 가지 비번을 여러 사이트에 돌려쓰는 것보다는 안전합니다. ㅡ.ㅡ

  • Lv36 Lv18
    그렇죠. 아무리 좌물쇠가 튼튼하다 해도 열쇠 하나로 돌려쓴다면 하나가 뚫리는 순간 나머지도 우수수 뚫릴테니까요.
  • Lv8
    저는 dropbox 1password, bitwarden 쓰는걸 추천해요.
  • Lv18
    https://markuta.com/cracking-lastpass-vaults/
    로컬 SQLite DB를 이용한 결과지만 실제 해커가 비밀번호를 알아낼수 있음을 보여주는 글입니다.