Менеджер паролей LastPass объявил что хакеры выкрали данные, включая пароли клиентов, в зашифрованном формате
Люди, которые используют LastPass и имеют слабый мастер-пароль или пароль, который может быть связан с их адресом электронной почты или номером телефона в другом сервисе, должны учитывать, что все их пароли были скомпрометированы и должны быть изменены, говорится в сообщении компании.
— генеральный директор LastPass Карим Тубба.
Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.
Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.
Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».
Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.
— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).
Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.
В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».
«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»
Если вы повторно используете свой мастер-пароль, и этот пароль когда-либо был скомпрометирован, субъект угрозы может использовать дампы скомпрометированных учетных данных, которые уже доступны в Интернете, чтобы попытаться получить доступ к вашей учетной записи
— генеральный директор LastPass Карим Тубба.
Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.
Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.
Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».
Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.
Менеджеры паролей являются естественной мишенью для тех, кто пытается получить несанкционированный доступ к вашим учетным записям, поскольку успешная атака обеспечивает доступ ко всем сохраненным паролям пользователя
— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).
Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.
В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».
«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Российские ученые «поймали за руку» Илона Маска
Они доказали, что его ракеты пробивают дыры в атмосфере....
«Титаник» разваливается прямо на глазах
Кто же ускоряет гибель легендарного корабля: люди или природа?...
Западная Европа и США готовятся к худшему
Новая угроза ожидается из Латинской Америки....
NASA обнаружило таинственное энергетическое поле вокруг Земли
Оно уникально, и, похоже, благодаря нему на планете… появилась жизнь....
Спасение человечества находится на дне Северного Ледовитого океана
Финские ученые уверены в этом на 100%....
Starliner Boeing снова в новостях: теперь там что-то жутко стучит и лязгает
NASA придумывает объяснения, а бывший командир МКС говорит, что это не к добру....
Космический корабль BepiColombo невероятно близко подлетел к Меркурию
Свежие снимки рябой планеты удалось сделать благодаря возникшим в полёте неполадкам....
Прорыв или кошмар? Искусственный интеллект стал изменять собственный код
Ученые говорят: ничего страшного. Но так ли это на самом деле?...
Форресты Гампы отменяются
Американские ученые «взломали» код аутизма....
Сосуд из найденного в Шотландии клада викингов оказался иранским
Никто не ожидал, что сокровище прибыло из столь отдаленных мест....
Азиаты оккупируют Британию: сначала мигранты, теперь желтоногие шершни
Экологи бьют тревогу и массово рассылают методички населению....
Безглазая смерть чует тьму: как именно грибок превращает мух в зомби-некрофилов
Главное случается ночью....
Новый метод поможет раскрыть секс-преступления во много раз быстрее
Открытие ускорит проверку улик....
Пандемия может повториться: эксперты бьют тревогу
По словам ученых, на зверофермах Китая творятся ужасные вещи....
Роботы и 3D-печать сделали бетон прочнее благодаря особой структуре
Имитируя природу, бетон можно уложить так, чтобы повысить прочность на 63%....
Компания 1X анонсировала повседневного помощника — гуманоидного робота NEO Beta
Похожий на человека механический слуга умеет ходить, бегать и подниматься по лестнице....