LastPass оприлюднив розлогу заяву про порушення, яке сталося кілька місяців тому. Простіше кажучи, не все добре.
Кілька тижнів тому LastPass опублікував у своєму блозі заяву, в якій поділився цим зазнав порушення. У той час Карім Тубба, генеральний директор LastPass, не вдавався в усі подробиці, лише повідомив, що стався інцидент безпеки зі сторонньою службою хмарного зберігання даних, яку використовує LastPass. Зараз компанія дає детальний розбір того, що сталося, і це не добре.
Toubba знову звернулася до блогу компанії, щоб поділитися тим, що знайшла щодо інциденту. Згідно з дописом, під час цієї атаки дані клієнтів не постраждали, але були викрадені «вихідний код і технічна інформація». На жаль, за допомогою цієї інформації зловмисник націлився на співробітника, отримав облікові дані та ключі, які були використані для розшифровки та доступу до інформації в хмарній службі зберігання.
Звідси зловмисник отримав доступ до такої інформації облікового запису, як «імена кінцевих користувачів, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси, з яких клієнти отримували доступ до служби LastPass." Крім того, було отримано дані про клієнтське сховище, яке містило зашифровані "імена користувачів і паролі веб-сайтів, захищені нотатки та заповнені дані».
Тож ви можете запитати себе, що це все означає?
Що ж, є хороші та погані новини. Щодо хороших новин, зібрані дані були зашифровані, і для розшифровки потрібен головний пароль користувача. Погана новина полягає в тому, що якщо зловмисник має час, він може спробувати стільки паролів, скільки потрібно, щоб розшифрувати дані. LastPass визнає, що це можливо, але заявляє, що це буде «надзвичайно важко», якщо сам пароль є складний.
LastPass також попереджає, що фішингові атаки можуть стати більш поширеними, намагаючись застати клієнтів зненацька та видобути головні паролі. Що стосується того, що можна зробити зараз, то насправді важливо бути напоготові й не стати жертвою спроб фішингу. Якщо це здається незвичайним або підозрілим, дослідіть це. LastPass вже досить давно вимагав паролі містити щонайменше 12 символів. Але подібні порушення можуть статися, і коли вони стаються, це справді ставить речі в перспективу.
Хоча компанія намагається надати певну впевненість, заявляючи, що знадобляться мільйони років, щоб спробувати вгадати складний пароль. Звичайно, це справді не повинно заспокоїти вас, оскільки там є хтось із вашими зашифрованими даними. LastPass вніс зміни у свою інфраструктуру, щоб запобігти зламам у майбутньому, і зв’язався з бізнес-клієнтами з високим ризиком і надав інструкції.
Джерело: LastPass