Личные данные пользователей менеджера паролей LastPass утекли в сеть
Некоторые личные данные пользователей сервиса для хранения паролей LastPass стали доступны злоумышленникам в результате взлома сети компании. Об этом представители LastPass сообщили в своём блоге.
По словам гендиректора LastPass Джо Сигриста (Joe Siegrist), атаку на сеть компании зафиксировали и остановили в пятницу 12 июня. Сообщения некоторых пользователей могут свидетельствовать о том, что безопасность сервиса была нарушена ещё в конце мая.
В результате атаки неизвестные получили доступ к электронным адресам, секретным вопросам для восстановления паролей, аутентификационным хэшам и их модификаторам («соли»). В LastPass утверждают, что никакие зашифрованные данные не были украдены в ходе атаки, и нет необходимости менять пароли, хранящиеся в приложении.
В случае, если мастер-пароль пользователя совпадает с паролями на других сайтах, их придётся изменить, чтобы предотвратить взлом через внешние сервисы — например, по электронной почте. То же самое касается тех пользователей, которые использовали такие простые кодовые фразы, как «robert1» или «password1!».
Используемые меры криптографии позволяют компании утверждать, что в безопасности находится «подавляющее большинство» пользователей. Тем не менее части из них разослали письма с предложением изменить свой мастер-пароль (используется для открытия хранилища остальных паролей). Тем, кто заходит с новых устройств или IP-адресов, необходимо заново верифицироваться по электронной почте.
Компанию раскритиковали за слишком медленные уведомления по электронной почте, однако специалисты объяснили, что в случае больших почтовых рассылок так происходит всегда. Пользователей также предупредили, что смены мастер-пароля в случае получения уведомления от LastPass будет достаточно для обеспечения безопасности.
Why do companies that get hacked do a blog post first and email their users second? https://t.co/nHfbqHNTK3 @LastPass
— Adrianne Jeffries (@adrjeffries) June 15, 2015
Sending out millions of alert emails is not something that happens in an hour. You can't dump 500,000 emails on gmail servers on a dime.
— InfoSec (@SwiftOnSecurity) June 15, 2015
If attackers didn't get encrypted LastPass customer vault data, they can't retroactively crack anything. Just change password, you're done.
— InfoSec (@SwiftOnSecurity) June 15, 2015
Как рассказал New York Times менеджер занимающейся кибербезопасностью компании Rapid7 Тод Бёрдсли (Tod Beardsley), хотя злоумышленники и не получили доступ к самим паролям, они всё ещё смогут «вытянуть» их из пользователей при помощи фишинга. Зная адреса их электронной почты, хакеры могут замаскировать письмо под уведомление LastPass о необходимости изменить свой мастер-пароль или другие данные, поэтому пользователям нужно быть внимательными при переходе по ссылкам из таких писем.
Это не первый раз, когда LastPass подвергается взлому. Предыдущий случай был в 2011 году: после него сервис ввёл «измеритель» сложности мастер-паролей. Кто именно в тот раз атаковал сеть LastPass и как личные данные пользователей оказались в опасности, расследование так и не выявило.
#Новость #хакеры #взломы #утечки #пароли #кибербезопасность #LastPass #менеджеры_паролей #взлом_LastPass #Джо_Сигрист