Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.
В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.
Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».
Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.
В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.
Источники: