Менеджер паролей LastPass взломали злоумышленники

Отдельными личными данными тех, кто пользуется сервисом для хранения паролей LastPass, завладели злоумышленники после того, как взломали сети этой компании. Информация достоверная, поскольку об этом рассказали сами представители LastPass в своем блоге.

 

Как рассказал генеральный директор LastPass Джо Сигрист (Joe Siegrist), атака на сеть компании была зафиксирована и остановлена в пятницу, 12 июня. Если же исходить из некоторых сообщений пользователей, то они подтверждают, что безопасность сервиса нарушили ранее. Это произошло в конце мая.

 

После проведенной атаки неизвестные смогли получить доступ к электронным адресам, секретным вопросам, с помощью которых восстанавливаются пароли; аутентификационным хэшам и их модификаторам. В LastPass заверяют, что ни о какой краже зашифрованных данных во время атаки не может быть и речи. Это означает, что никому не нужно менять пароли, которые хранятся в приложении.

 

В том случае, когда мастер-пароль пользователя совпадает с паролями на иных интернет-ресурсах, их все же нужно изменить. Такая мера позволит предотвратить взлом с помощью внешних сервисов. Скажем, по электронной почте. Это же рекомендуется сделать тем пользователям, которые придумали очень простые кодовые фразы, типа «password1».

 

 

Меры криптографии, которые применяет компания, дают основания ей без сомнения говорить о том, что львиная доля пользователей находится в безопасности. И все-таки, несмотря на это, некоторым из них разослали письма, в которых рекомендовали поменять свой мастер-пароль. Его применяют для того, чтобы открыть хранилище остальных паролей. А тот, кто заходит с новых устройств или IP-адресов, должен еще раз верифицироваться по электронной почте.

 

Компания подверглась критики за то, что очень медленно уведомила обо всем пользователей по электронной почте. Однако, как рассказали специалисты, такое происходит всегда, когда речь идет о больших почтовых рассылках. Пользователям также сообщили о том, что достаточно сменить мастер-пароль в случае получения уведомления от LastPass, чтобы говорить о том, что безопасность обеспечена.

 

По словам менеджера Тода Бердсли (Tod Beardsley), который занимается кибербезопасностью компании Rapid7, злоумышленники не получили доступ к самим паролям. Однако они все-таки имеют возможность «вытянуть» их из пользователей, если используют фишинг.

 

Располагая адресами их электронной почты, хакеры имеют возможность преподнести свое письмо в качестве ложного уведомления LastPass о том, что нужно изменить свой мастер-пароль, как и прочие данные. Вот почему пользователи должны быть бдительны, когда переходят по ссылкам из таких писем.