Оригинал материала: https://3dnews.ru/1079909

В отношении LastPass подан коллективный иск из-за утечки данных

Житель американского штата Пенсильвания подал против компании LastPass судебный иск, который получил статус коллективного — в минувшем году ресурсы службы взламывали дважды, хотя её администрация пыталась заверить пользователей в сохранности данных.

 Источник изображения: lastpass.com

Источник изображения: lastpass.com

По версии истца, в результате ноябрьского взлома LastPass у него были похищены биткоины на общую сумму $53 тыс., а в интернете всё чаще появляются истории о многочисленных «угонах» учётных записей на различных ресурсах, что также связывают с инцидентом.

Проблемы начались в августе, когда неизвестные похитили с серверов LastPass технические данные. В ноябре злоумышленники вернулись и, используя украденную ранее информацию, довели дело до конца, получив доступ к хранилищам паролей пользователей. Администрация LastPass пыталась развеять опасения, заявив, что данные в хранилищах зашифрованы и прочитать их можно только при наличии пользовательских мастер-паролей, которые на серверах службы не хранятся.

Истец же заявляет, что криптовалютный кошелёк был защищён уникальным паролем, сгенерированным LastPass, и сервис использовался для хранения «крайне важных закрытых ключей». Тем не менее, криптовалютный кошелёк был вскрыт, и если ключи хранились только на ресурсах LastPass, то эти ресурсы не так безопасны, как утверждает компания. Пользователи, которые начали пользоваться менеджером паролей Google, всё чаще получают уведомления о компрометации сохранённых в LastPass учётных данных, а число подозрительных попыток фишинга возросло.

В иске говорится, что администрация сервиса характеризует свои методы обеспечения безопасности как «сильнее обычного», но это не соответствует действительности. В частности, сервис начал требовать, чтобы мастер-пароли имели длину более 12 символов, лишь в 2018 году; а хеширование паролей производится в 100 100 итераций алгоритма PBKDF2, хотя отраслевой стандарт требует 310 000 итераций. Ещё одним подтверждением факта халатности истец считает «необоснованно затянувшееся» уведомление пользователей об инциденте.



Оригинал материала: https://3dnews.ru/1079909