реклама
Новости Software

Менеджер паролей LastPass признал, что хакеры украли пользовательские данные и зашифрованные пароли, но на взлом уйдут «миллионы лет»

Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.

 Источник изображения: LastPass

Источник изображения: LastPass

В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.

Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».

Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.

В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.

В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Анонсирован «симулятор Джеки Чана» — Karate Survivor погрузит игроков в мир боевых искусств и уличных драк, вдохновлённых боевиками 80-х 27 мин.
В «Пуске» Windows 11 появились виджеты-компаньоны — их можно создавать самостоятельно 2 ч.
Терминатор T-1000, Конан-варвар и другие: датамайнер раскрыл, каких ещё персонажей добавят в Mortal Kombat 1 2 ч.
Google позволит создавать кастомных чат-ботов для индивидуального общения — в том числе, на основе знаменитостей и блогеров 3 ч.
Motorola и Google объединились для внедрения ИИ-функций в смартфоны Razr 6 ч.
Браузер Firefox версии Nightly получил ИИ-помощников ChatGPT и Gemini 7 ч.
Google решила убрать бесконечную прокрутку результатов поиска 7 ч.
Политические дипфейки оказались самой популярным направлением в злоупотреблениях ИИ 12 ч.
Forza Horizon 4 скоро снимут с продажи и удалят из Game Pass — подробности и причины 13 ч.
Игровая студия стримера Dr Disrespect разорвала с ним отношения — выяснилась причина его вечного бана на Twitch 14 ч.