Личные данные пользователей менеджера паролей LastPass утекли в сеть

Некоторые личные данные пользователей сервиса для хранения паролей LastPass стали доступны злоумышленникам в результате взлома сети компании. Об этом представители LastPass сообщили в своём блоге.

По словам гендиректора LastPass Джо Сигриста (Joe Siegrist), атаку на сеть компании зафиксировали и остановили в пятницу 12 июня. Сообщения некоторых пользователей могут свидетельствовать о том, что безопасность сервиса была нарушена ещё в конце мая.

В результате атаки неизвестные получили доступ к электронным адресам, секретным вопросам для восстановления паролей, аутентификационным хэшам и их модификаторам («соли»). В LastPass утверждают, что никакие зашифрованные данные не были украдены в ходе атаки, и нет необходимости менять пароли, хранящиеся в приложении.

В случае, если мастер-пароль пользователя совпадает с паролями на других сайтах, их придётся изменить, чтобы предотвратить взлом через внешние сервисы — например, по электронной почте. То же самое касается тех пользователей, которые использовали такие простые кодовые фразы, как «robert1» или «password1!».

Используемые меры криптографии позволяют компании утверждать, что в безопасности находится «подавляющее большинство» пользователей. Тем не менее части из них разослали письма с предложением изменить свой мастер-пароль (используется для открытия хранилища остальных паролей). Тем, кто заходит с новых устройств или IP-адресов, необходимо заново верифицироваться по электронной почте.

Компанию раскритиковали за слишком медленные уведомления по электронной почте, однако специалисты объяснили, что в случае больших почтовых рассылок так происходит всегда. Пользователей также предупредили, что смены мастер-пароля в случае получения уведомления от LastPass будет достаточно для обеспечения безопасности.

Why do companies that get hacked do a blog post first and email their users second? https://t.co/nHfbqHNTK3 @LastPass

— Adrianne Jeffries (@adrjeffries) June 15, 2015

Sending out millions of alert emails is not something that happens in an hour. You can't dump 500,000 emails on gmail servers on a dime.

— InfoSec (@SwiftOnSecurity) June 15, 2015

If attackers didn't get encrypted LastPass customer vault data, they can't retroactively crack anything. Just change password, you're done.

— InfoSec (@SwiftOnSecurity) June 15, 2015

Как рассказал New York Times менеджер занимающейся кибербезопасностью компании Rapid7 Тод Бёрдсли (Tod Beardsley), хотя злоумышленники и не получили доступ к самим паролям, они всё ещё смогут «вытянуть» их из пользователей при помощи фишинга. Зная адреса их электронной почты, хакеры могут замаскировать письмо под уведомление LastPass о необходимости изменить свой мастер-пароль или другие данные, поэтому пользователям нужно быть внимательными при переходе по ссылкам из таких писем.

Это не первый раз, когда LastPass подвергается взлому. Предыдущий случай был в 2011 году: после него сервис ввёл «измеритель» сложности мастер-паролей. Кто именно в тот раз атаковал сеть LastPass и как личные данные пользователей оказались в опасности, расследование так и не выявило.