Breach 2022., 30 milijuna ukradenih vaultova i lekcija o tome zašto cloud password manageri nisu imuni.
Što se dogodilo?
U kolovozu 2022., hakeri su provalili u razvojno okruženje LastPassa. LastPass je u početku tvrdio da korisničke podatke nisu pogođene. Lagali su.
U prosincu 2022., LastPass je priznao punu istinu: napadači su ukrali kompletne backup kopije korisničkih vaultova — enkriptirane, ali s metapodatcima u čistom tekstu. To uključuje:
30M+
Korisničkih vaultova ukradeno u napadu
$150M+
Ukradene kriptovalute povezane s LastPass breachom (Krebs on Security)
25.000
Iteracija PBKDF2 za starije accounte (umjesto preporučenih 600.000)
∞
Vrijeme koje hakeri imaju za offline brute force — vaultovi su zauvijek u njihovim rukama
Kronologija propusta
Kolovoz 2022.
Hakeri pristupaju razvojnom okruženju LastPassa putem kompromitiranog računala jednog developera. LastPass objavljuje da su korisnici sigurni.
Studeni 2022.
LastPass otkriva "neobičnu aktivnost" u cloud pohrani. Iste pristupne ključeve od kolovoskog napada hakeri su koristili za pristup backupu.
Prosinac 2022.
Puna istina: ukradeni su kompletni vaultovi. URL-ovi, korisničko ime, napomene — u čistom tekstu. Samo lozinke su enkriptirane.
2023.–2026.
Blockchain analitičari povezuju $150M+ u ukradenim kriptovalutama s LastPass breachom. Hakeri polako probijaju slabije vaultove.
Temeljni problem cloud password managera
LastPass breach nije bio "nesretni incident" — on je strukturalni rizik svakog cloud password managera. Evo zašto:
Centralizirana meta
30 milijuna vaultova na jednom mjestu = 30 milijuna razloga za napad. Hakeri nisu ciljali vas osobno — ciljali su sve odjednom.
Offline napad zauvijek
Kad napadač ima vaš enkriptirani vault, može ga pokušavati probiti godinama. Nema lockout-a, nema rate limita. Ako je vaša master lozinka slaba — samo je pitanje vremena.
Metapodatci u čistom tekstu
URL-ovi stranica na koje se prijavljujete bili su neenkriptirani. Napadač zna da koristite online banku, crypto burzu ili zdravstveni portal — čak i bez probijanja vaulta.
Lažni osjećaj sigurnosti
LastPass je koristio samo 25.000 PBKDF2 iteracija za starije accounte. Mnogi korisnici nikad nisu bili migrirani na jaču zaštitu — a nisu to ni znali.
Lokalni pristup kao rješenje
Geslar je nastao iz uvjerenja da vaši podatci trebaju ostati na vašem uređaju. Ne na "našem sigurnom cloudu", ne na "enkriptiranom serveru" — na vašem računalu, pod vašom kontrolom.
Nema servera = nema breacheva
Geslar ne pohranjuje podatke na serverima. Haker ne može ukrasti ono što ne postoji na internetu. Vaš vault je samo na vašem uređaju.
AES-256-GCM + PBKDF2 600K
Geslar koristi najjači standard enkripcije (GCM, ne CBC) i 600.000 PBKDF2 iteracija — 24 puta više od starih LastPass accounta.
Nula telemetrije
Geslar ne prikuplja nikakve podatke o korištenju. Nema analitike, nema trackinga, nema "anonimiziranih" statistika. Potpuni digitalni mir.
Bez registracije
Nema emaila, nema accounta, nema "recovery" podataka na serveru. Ako netko ne zna da koristite Geslar — ne može vas ni ciljati.
Lekcije iz LastPass debakla
Što LastPass breach nas uči:
"Enkriptirano u cloudu" ne znači "sigurno" — enkripcija je jaka koliko i vaša master lozinka
Kompanije minimiziraju breacheve — LastPass je mjesecima skrivao puni opseg napada
Metapodatci su isto podatci — znati koje stranice koristite je dragocjena informacija za napadače
Cloud = centralizirana meta — jedan uspješan napad kompromitira milijune korisnika
Stariji accounti mogu imati slabiju zaštitu nego što mislite
Ako ste LastPass korisnik, razmislite o prijelazu na lokalni password manager. Vaši podatci su previše važni da biste ih povjerili nečijem serveru.
Prebacite se na Geslar — vaši podatci ostaju samo kod vas.