LastPass опубликовал подробное заявление о взломе, произошедшем несколько месяцев назад. Проще говоря, дела обстоят не очень хорошо.
Несколько недель назад LastPass опубликовал в своем блоге заявление, в котором сообщил, что произошло нарушение. В то время Карим Тубба, генеральный директор LastPass, не вдавался во все подробности, а лишь сообщил, что инцидент безопасности произошел со сторонним сервисом облачного хранения, который использует LastPass. Теперь компания подробно описывает произошедшее, и это нехорошо.
Тубба снова зашел в блог компании, чтобы поделиться тем, что обнаружилось в связи с инцидентом. Согласно сообщению, в результате этой атаки данные клиентов не пострадали, но были украдены «исходный код и техническая информация». К сожалению, используя эту информацию, злоумышленник затем нацелился на сотрудника, получил учетные данные и ключи, которые использовались для расшифровки и доступа к информации в облачной службе хранения.
Отсюда злоумышленник смог получить доступ к такой информации об учетной записи, как «имена конечных пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к услуге LastPass». Кроме того, были получены данные хранилища клиентов, которые содержали зашифрованные «имена пользователей и пароли веб-сайта, защищенные заметки и данные, заполненные формой».
Итак, вы можете спросить себя, что именно все это означает?
Что ж, есть хорошие и плохие новости. Что касается хороших новостей, собранные данные были зашифрованы, и для их расшифровки требуется главный пароль пользователя. Плохая новость заключается в том, что если у злоумышленника есть время, он может попробовать столько паролей, сколько необходимо для расшифровки данных. LastPass признает, что это возможно, но заявляет, что это будет «чрезвычайно сложно», если сам пароль является сложный.
LastPass также предупреждает, что фишинговые атаки могут стать более распространенными, пытаясь застать клиентов врасплох и извлечь мастер-пароли. Что касается того, что можно сделать сейчас, то на самом деле нужно просто держать себя в тонусе и не становиться жертвой попыток фишинга. Если это кажется необычным или подозрительным, изучите это. LastPass уже довольно давно требует паролей длиной как минимум 12 символов. Но подобные нарушения могут случиться, и когда они происходят, это действительно позволяет взглянуть на ситуацию со стороны.
Тем не менее, компания пытается дать некоторые гарантии, заявляя, что на попытку угадать сложный пароль потребуются миллионы лет. Конечно, это не должно вас успокаивать, поскольку кто-то владеет вашими зашифрованными данными. LastPass внес изменения в свою инфраструктуру, чтобы предотвратить нарушения в будущем, и связался с бизнес-клиентами с высоким уровнем риска с инструкциями.
Источник: Последний проход