Zkuste si vybavit, kolik hesel máte uložených ve správci hesel. K e-mailu. K bankovnictví. K firemním systémům. K sociálním sítím. Ke cloudovým úložištím. K e-shopu, kde máte číslo karty.
Teď si představte, že by to celé někdo tiše zkopíroval.
Ne jednotlivá hesla. Celý trezor. Zašifrovaný – ale váš.
Přesně to se stalo 25 milionům uživatelů správce hesel LastPass. A vstupním bodem nebyl sofistikovaný útok na firemní servery. Byl to domácí server na streamování filmů, na kterém jeden zaměstnanec přes dva roky nestáhl patch.
Co je správce hesel a proč na tom záleží
Než se dostaneme k příběhu, jedno vysvětlení pro ty, kdo správce hesel nepoužívají.
Správce hesel je aplikace, která ukládá všechna vaše přihlašovací jména a hesla na jednom místě, zašifrovaná jedním hlavním heslem. Místo toho, abyste si pamatovali desítky hesel – nebo, což je mnohem horší, používali jedno heslo všude – pamatujete si jen to jedno hlavní, a aplikace vám ostatní automaticky doplní.
LastPass byl v roce 2022 jedním z nejpopulárnějších správců hesel na světě. 25 milionů uživatelů. Firmy, vývojáři, bezpečnostní profesionálové – lidé, kteří si s kybernetickou bezpečností dávají záležet.
Přesně tihle lidé pak zjistili, že jejich trezor s hesly byl ukraden.
Mediální server a přes dva roky starý patch
Srpen 2022. Jeden ze čtyř vývojářů ve firmě LastPass, který měl přístup k šifrovacím klíčům zákaznických záloh, provozoval doma server Plex.
Plex je software, který se instaluje na domácí počítač a umožňuje streamovat vlastní filmy a seriály přes internet – takový domácí Netflix. Nic špatného na tom není. Jenže tento vývojář měl nainstalovanou verzi starou přes dva a půl roku. Verzi s kritickou bezpečnostní chybou, kvůli které útočník mohl na serveru spustit vlastní kód.
Tato chyba byla opravena přes dva a půl roku před útokem. Aktualizace existovala. Zaměstnanec ji jen nikdy nenainstaloval.
Útočníci – pravděpodobně skupina s vazbami na organizovaný zločin – chyby využili. Dostali se do počítače vývojáře a nainstalovali tam keylogger: program, který tiše zaznamenává každou klávesu, kterou uživatel stiskne. Včetně hesla.
Vývojář se pak přihlásil ke svému firemnímu trezoru s hesly. Keylogger to zaznamenal. Útočníci měli heslo.
Od 12. srpna do 26. října 2022 – 75 dní, přes dva měsíce – se pohybovali v záložním cloudovém úložišti LastPass, kopírovali záznamy a nikdo si ničeho nevšiml. Provoz vypadal jako legitimní přístupy firemního zaměstnance.
V prosinci 2022 LastPass oznámil, co se stalo: záloha databáze zákazníků ukradena. Zašifrované trezory s hesly 25 milionů uživatelů – ukradeny.
Proč je to stále problém
„Vždyť hesla jsou zašifrovaná," možná říkáte. „Bez hlavního hesla jsou k ničemu."
Jenže útočníci je nyní mají offline. To znamená, že je mohou zkoušet prolomit libovolně dlouho, na vlastních počítačích, bez omezení. Pošlou je do speciálního softwaru, který zkouší hesla jedno po druhém – miliony pokusů za sekundu.
Pokud bylo vaše hlavní heslo slabé, jednoduché, nebo jste ho používali i jinde a někdy uniklo, útočníci ho mohli prolomit. A pak měli přístup ke všem vašim heslům – nezašifrovaným.
Krebs on Security, jeden z nejrespektovanějších bezpečnostních novinářů na světě, v září 2023 zmapoval krádeže kryptoměn, které výzkumníci dali do přímé souvislosti s prolomením LastPass trezorů. Více než 150 obětí, přes 35 milionů dolarů ukradeno – a všechny oběti měly jedno společné: v LastPass uložené přístupové fráze ke svým kryptoměnám.
V roce 2024 federální prokurátoři v USA propojili s LastPass breachem krádež 150 milionů dolarů v kryptoměnách – největší jednotlivou krádež v sérii. Oběti zahrnují i spoluzakladatele kryptoměnové platformy Ripple.
V únoru 2026 LastPass uzavřel hromadnou žalobu za 24,5 milionu dolarů.
Útok z roku 2022 stále generuje škody v roce 2026.
Co z toho plyne pro české firmy a správce IT
Příběh LastPassu není o tom, že správci hesel jsou nebezpeční. Je o třech konkrétních selháních, která zákon č. 264/2025 Sb. dnes explicitně adresuje.
1. Nezáplatovaný domácí server zaměstnance
Zaměstnanec pracoval z domova a přistupoval k firemním systémům z domácího počítače. Ten samý počítač měl přes dva roky nezáplatovanou chybu v jiné aplikaci.
Zákon č. 264/2025 Sb. a prováděcí vyhláška 410/2025 Sb. k tomu říkají: povinná osoba zajistí bezpečnostní opatření „v souladu s písmenem c) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě" (§7 odst. 1 písm. c) vyhlášky 410/2025).
Česky: pokud vaši zaměstnanci přistupují k firemním systémům z domácích zařízení, musíte mít nastavená pravidla, jak taková zařízení musí vypadat. Nelze říct „to je jejich počítač, starají se o to sami." Pokud z něj přistupují k firemním datům, stává se součástí vaší odpovědnosti.
2. Čtyři lidi měli přístup ke klíčům od všeho
Pouze čtyři zaměstnanci měli přístup k šifrovacím klíčům, které odemykaly zálohy všech 25 milionů zákazníků. To zní jako dobré zabezpečení – omezený přístup. Ale tito čtyři lidé měli přístup z firemních i soukromých zařízení a neexistovala dostatečná segmentace.
Zákon vyžaduje princip nejmenšího oprávnění: každý dostane přesně ta přístupová práva, která potřebuje pro svou práci – a nic víc. A ta práva musí být pravidelně přezkoumávána (§7 odst. 1 písm. d) vyhlášky 410/2025). Klíčové přístupy musí mít dodatečnou vrstvu ochrany a jejich použití musí být monitorováno.
3. Osm týdnů bez povšimnutí
Útočníci se pohybovali v systémech od 12. srpna do 26. října. Osm týdnů. Provoz jim procházel, protože vypadal jako legitimní aktivita oprávněného zaměstnance.
Zákon vyžaduje detekci bezpečnostních událostí a jejich zaznamenávání (§9 vyhlášky 410/2025, §21–23 vyhlášky 409/2025). To zahrnuje mimo jiné „detekci kybernetických bezpečnostních událostí na základě chování technických aktiv, administrátorů a uživatelů."
Kdyby byl přístup z domácího počítače DevOps inženýra do kritického cloudového úložiště zaznamenáván a porovnáván s normálním vzorem chování, mohla by anomálie být detekována dřív. Osm týdnů je příliš dlouhá doba na to, aby zůstal průlom neodhalený.
Správci hesel v češtině: použít, nebo nepoužít?
Incident s LastPassem způsobil, že mnoho lidí začalo pochybovat o správcích hesel obecně. To je pochopitelný, ale špatný závěr.
Alternativa ke správci hesel totiž není „pamatuji si silná unikátní hesla ke každé službě." Alternativa v reálném světě je „používám jedno nebo dvě hesla všude" – což je výrazně nebezpečnější.
Co z LastPassu plyne:
Vybírejte správce hesel s dodateční vrstvou šifrování. Některé produkty (1Password, Bitwarden) chrání trezor nejen hlavním heslem, ale i dalším tajným klíčem, který se nikde na serverech neukládá. Útočník pak nestačí získat zálohu – potřebuje i váš lokální klíč.
Hlavní heslo musí být silné a unikátní. Nezáplatovaný server byl vstupní bod. Ale zašifrované trezory by útočníkům k ničemu nebyly, kdyby hlavní hesla byla dostatečně silná. Pokud vaše bylo slabé nebo se shodovalo s někde jinde uniklým heslem, trezor šel prolomit.
Hesla ke kritickým systémům pravidelně měňte. Záloha, ze které útočníci vychází, je z roku 2022. Pokud jste od té doby (nebo kdykoliv po bezpečnostním incidentu u poskytovatele) hesla ke kritickým službám změnili, stará záloha je k ničemu.
Firemní přístupy nepatří do osobního správce hesel. Přihlašovací údaje k firemním systémům by měly být v nástroji spravovaném firmou – ne v osobním účtu zaměstnance, ke kterému přistupuje z domácího počítače se zastaralým softwarem.
Česká perspektiva: tohle se týká i nás
LastPass je americká firma, incident se odehrál v USA. Jenže zhruba 25 milionů uživatelů zahrnuje uživatele po celém světě – tedy i z České republiky.
Kryptoměnové krádeže, které výzkumníci propojili s LastPassem, se netýkají jen amerických techů v Silicon Valley. Pokud váš zaměstnanec nebo vy sami jste v roce 2022 měli LastPass účet a uložená přístupová data ke kryptoměnám – nebo přístupová data k firemním systémům – váš trezor byl ukraden a je možné, že byl nebo bude prolomen.
A v kontextu zákona 264/2025 Sb.: firmy, které spadají pod regulaci a svým zaměstnancům nevysvětlí základní pravidla pro práci z domova a správu přístupových údajů, nesplňují požadavky na bezpečnost lidských zdrojů. To není abstraktní compliance. To je přesně ten typ selhání, který stojí za incidentem LastPass.
Závěr: jeden nezáplatovaný server, 25 milionů lidí
Hrozby nepřicházejí vždy z Ruska nebo Číny přímo na vaše servery. Někdy přijdou přes mediální server kolegy, který přes dva roky nevěnoval deset minut aktualizaci.
Tohle jsou dobré zprávy. Protože to znamená, že základní bezpečnostní hygiena – pravidelné aktualizace, jasná pravidla pro práci z domova, segmentace přístupů, monitoring – není raketová věda. Je to disciplína.
A zákon č. 264/2025 Sb. vás k ní teď zavazuje.
Chcete zjistit, jak vaše firma stojí v oblasti správy přístupů a bezpečnosti při práci z domova? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: Krebs on Security – Experts Fear Crooks are Cracking Keys Stolen in LastPass Breach (září 2023), Krebs on Security – Feds Link $150M Cyberheist to 2022 LastPass Hacks (březen 2025), Wikipedia – 2022 LastPass data breach, Proton – Lessons from the LastPass data breach, The Hacker News – LastPass Hack: Engineer's Failure to Update Plex Software (březen 2023), Cyber Unit – LastPass Issues Critical Warning (leden 2026), LastPass – Security Incident December 2022 Update (prosinec 2022), vyhláška 410/2025 Sb. §7 odst. 1, vyhláška 409/2025 Sb. §21–23