Если вы повторно используете свой мастер-пароль, и этот пароль когда-либо был скомпрометирован, субъект угрозы может использовать дампы скомпрометированных учетных данных, которые уже доступны в Интернете, чтобы попытаться получить доступ к вашей учетной записи
— генеральный директор LastPass Карим Тубба.
Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.
Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.
Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».
Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.
Менеджеры паролей являются естественной мишенью для тех, кто пытается получить несанкционированный доступ к вашим учетным записям, поскольку успешная атака обеспечивает доступ ко всем сохраненным паролям пользователя
— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).
Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.
В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».
«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»
