Менеджер паролей LastPass объявил что хакеры выкрали данные, включая пароли клиентов, в зашифрованном формате

Люди, которые используют LastPass и имеют слабый мастер-пароль или пароль, который может быть связан с их адресом электронной почты или номером телефона в другом сервисе, должны учитывать, что все их пароли были скомпрометированы и должны быть изменены, говорится в сообщении компании.



— генеральный директор LastPass Карим Тубба.

Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.

Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.

Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».

Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».

AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.


— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).

Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.

В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».

«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»