Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.
В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.
Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».
Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.
В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.
Источники: