
Менеджер паролей LastPass объявил что хакеры выкрали данные, включая пароли клиентов, в зашифрованном формате
Люди, которые используют LastPass и имеют слабый мастер-пароль или пароль, который может быть связан с их адресом электронной почты или номером телефона в другом сервисе, должны учитывать, что все их пароли были скомпрометированы и должны быть изменены, говорится в сообщении компании.
— генеральный директор LastPass Карим Тубба.
Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.
Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.
Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».
Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.
— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).
Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.
В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».
«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»
Если вы повторно используете свой мастер-пароль, и этот пароль когда-либо был скомпрометирован, субъект угрозы может использовать дампы скомпрометированных учетных данных, которые уже доступны в Интернете, чтобы попытаться получить доступ к вашей учетной записи
— генеральный директор LastPass Карим Тубба.
Объявление последовало после того как компания раскрыла августовский инцидент, в ходе которого часть исходного кода и техническая информация были украдены из среды разработки — детали, которые впоследствии использовались в последней атаке.
Поскольку данные, украденные при первой атаке, использовались для поддержки второй атаки, это предполагает, что за обеими стоит один и тот же человек или группа. Злоумышленники смогли получить доступ к ключам дешифрования для облачного хранилища LastPass и контейнеров с двойным хранилищем.
Это то, что вызвало наибольшую озабоченность у наблюдателей, поскольку это позволило хакерам скопировать резервные копии, которые LastPass хранит в незашифрованной информации об учетной записи своих клиентов, «включая названия компаний, имена конечных пользователей, адреса для выставления счетов, адрес электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass».
Злоумышленник также получил доступ к «полностью зашифрованным конфиденциальным полям, таким как имена пользователей и пароли веб-сайтов, защищенные заметки и данные, заполненные формами». В сообщении в блоге, выделенном жирным шрифтом, говорится, что эти зашифрованные поля «защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
AES-256 имеет большое количество возможных ключей; 2 в степени 256. Как показывает этот объяснитель с канала YouTube 3blue1brown, хакерам с сегодняшними технологиями потребовалось бы невозможно много времени, чтобы подобрать ключ такого размера.
Менеджеры паролей являются естественной мишенью для тех, кто пытается получить несанкционированный доступ к вашим учетным записям, поскольку успешная атака обеспечивает доступ ко всем сохраненным паролям пользователя
— руководство Национального центра кибербезопасности Соединенного Королевства (NCSC).
Несмотря на этот риск, NCSC по-прежнему рекомендует использовать менеджеры паролей, если служба соответствует техническим стандартам, которые включают предотвращение доступа самой службы (и, следовательно, любого злоумышленника) к ключу дешифрования.
В сообщении в блоге добавлено, что любые клиенты, которые используют настройки LastPass по умолчанию, в том числе используют уникальный мастер-пароль, состоящий как минимум из двенадцати символов, не должны предпринимать никаких действий. Однако тем, у кого более слабые пароли, в том числе бизнес-клиентам, которые не используют службы федеративного входа LastPass, было сказано, что они «должны подумать о минимизации риска, изменив пароли веб-сайтов, которые вы сохранили».
«Это остается продолжающимся расследованием. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из соображений предосторожности», — добавил Тубба. «Мы стремимся держать вас в курсе наших выводов и информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться. Тем временем наши службы работают в обычном режиме, и мы продолжаем работать в состоянии повышенной готовности.»
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

На 3300-летнем египетском обелиске, стоящем в Париже, обнаружены… тайные послания
Увидеть их могли лишь немногие избранные, причем только в определенное время года....

В Индонезии хотят стерилизовать самых бедных мужчин
«Денег нет? Тогда не размножайся!» — говорит один из тамошних губернаторов....

Оказалось, что раны у людей заживают в три раза медленнее, чем у шимпанзе
Ученые пытаются разобраться в этом парадоксе. И вот что они узнали....

Веста, второй по величине астероид в Солнечной системе, может быть частью исчезнувшей планеты
Загадка малой планеты разделила астрономов....