LastPass утверждает, что хакеры украли хранилища паролей клиентов
Пришло время начать менять свои пароли
Гигант по управлению паролями LastPass подтвердил, что киберпреступники похитили зашифрованные хранилища паролей его клиентов, в которых хранятся пароли и другие секреты, в результате взлома данных в начале этого года.
В обновленном сообщении в блоге, генеральный директор LastPass Карим Тубба сообщил, что злоумышленники сняли копию резервной копии данных хранилища паролей клиентов, используя ключи от облачного хранилища, украденные у сотрудника LastPass. Кэш хранилищ паролей клиентов хранится в «собственном бинарном формате», который содержит как незашифрованные, так и зашифрованные данные хранилища, однако технические подробности и детали безопасности этого собственного формата не были указаны. Незашифрованные данные включают в себя веб-адреса, хранящиеся в хранилище. Неясно, насколько актуальны похищенные резервные копии.
Компания LastPass заявила, что хранилища паролей клиентов зашифрованы и могут быть разблокированы только с помощью мастер-пароля, который известен только клиенту. Однако компания предупредила, что киберпреступники, стоящие за вторжением, «могут попытаться использовать брутфорс, чтобы угадать ваш главный пароль и расшифровать копии данных хранилища, которые они получили».
Тубба сказал, что киберпреступники также завладели огромными массивами данных клиентов, включая имена, адреса электронной почты, номера телефонов и некоторые платежные данные.
Менеджеры паролей в подавляющем большинстве случаев хорошо использовать для хранения своих паролей, которые должны быть длинными, сложными и уникальными для каждого сайта или сервиса. Однако подобные инциденты безопасности являются напоминанием о том, что не все менеджеры паролей созданы одинаковыми и могут быть атакованы или скомпрометированы по-разному. Учитывая, что модель угроз у всех разная, ни у одного человека не будет таких же требований, как у другого.
Если злоумышленник получит доступ к зашифрованным хранилищам паролей клиентов, «все, что ему понадобится — это главный пароль жертвы». Открытое или скомпрометированное хранилище паролей настолько прочно, насколько прочен шифр — и пароль — используемый для его шифрования.
Лучшее, что вы можете сделать как клиент LastPass, — это изменить ваш текущий мастер-пароль LastPass на новый уникальный пароль (или кодовую фразу), который записывается и хранится в надежном месте. Это означает, что ваше текущее хранилище LastPass защищено.
Если вы думаете, что ваше хранилище паролей LastPass может быть скомпрометировано — например, если ваш мастер-пароль слаб или вы использовали его в другом месте, — вам следует начать менять пароли, хранящиеся в вашем хранилище LastPass. Начните с наиболее важных учетных записей, таких как учетные записи электронной почты, учетные записи тарифного плана сотовой связи, банковские счета и учетные записи социальных сетей, и двигайтесь вниз по списку приоритетов.
Хорошая новость заключается в том, что любая учетная запись, защищенная двухфакторной аутентификацией, значительно затруднит злоумышленникам доступ к вашим учетным записям без второго фактора, например, всплывающего окна на телефоне или кода, отправленного по СМС или электронной почте. Вот почему важно в первую очередь защитить учетные записи со вторым фактором, такие как учетные записи электронной почты и тарифные планы сотовой связи.