Что тебе нужно знать
- LastPass сообщает, что хранилища паролей клиентов оказались в руках киберпреступников.
- Хакеры использовали информацию, полученную ими в ходе предыдущего инцидента, раскрытого LastPass в августе прошлого года.
- Мастер-пароли остаются безопасными, и LastPass заявляет, что хакерам потребуются миллионы лет, чтобы их угадать.
Нарушение безопасности, обнаруженное LastPass в августе, хуже, чем предполагалось ранее. LastPass подтвердил, что киберпреступники использовали информацию, полученную в результате предыдущего инцидента, для получения зашифрованных хранилищ паролей и других данных клиентов.
Согласно последнее обновление из диспетчера паролей хакеры смогли «скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища», что содержал как незашифрованные данные, такие как URL-адреса, так и зашифрованные поля данных, такие как имена пользователей и пароли веб-сайтов, защищенные заметки и заполненные формы. данные.
В августе LastPass заявила, что, хотя хакеры получили доступ к частям ее среды разработки, данные клиентов не были скомпрометированы. Несколько месяцев спустя компания обнаружила, что «определенные элементы» данных клиентов
были фактически затронуты инцидентом безопасности.Злоумышленники получили доступ к его исходному коду и другим техническим данным и использовали эту информацию для компрометации учетной записи разработчика LastPass. В результате инцидента хакеры в конечном итоге украли резервные копии хранилищ паролей пользователей.
К счастью, киберпреступники не смогут разблокировать зашифрованные хранилища паролей без мастер-паролей, которые знают только владельцы учетных записей. Компания подчеркивает, что мастер-пароли защищены архитектурой с нулевым разглашением, а это значит, что ее не знает даже LastPass.
Однако LastPass предупредил клиентов, что хакеры «могут попытаться использовать грубую силу, чтобы угадать ваш мастер-пароль и расшифровать копии данных хранилища, которые они забрали». Вероятно, это связано с тем, что хранилища паролей теперь находятся в руках угрозы актеры.
В дополнение к хранилищам паролей хакеры получили доступ к сокровищнице данных, включая имена, адреса электронной почты, номера телефонов и некоторую платежную информацию. Владельцы затронутых учетных записей LastPass также потенциально уязвимы для «фишинговых атак, вброс или другие атаки методом перебора против онлайн-аккаунтов», которые связаны с их LastPass сейф.
Это нарушение безопасности служит напоминанием о том, что даже лучшие менеджеры паролей уязвимы для нападения. Никогда не используйте один и тот же пароль для всех своих онлайн-аккаунтов. В этом случае LastPass рекомендует не использовать мастер-пароль на других сайтах. Более того, рекомендуется заменить текущий мастер-пароль LastPass уникальной комбинацией и защитить свою учетную запись с помощью двухфакторная аутентификация.