Большинству пользователей LastPass уже должно было прийти письмо с заголовком LastPass Security Notice, с подробностями недавней атаки на сервис.
Подозрительная активность была зафиксирована в пятницу и кому-то удалось получить доступ к хешам мастер-паролей, электронных почтовых адресов и ответов на проверочные вопросы.
Сами пароли пользователей взломаны не были, однако учитывая что хакер или хакеры получили доступ к хешам мастер-пароля и другим данным, они могут получить и доступ к аккаунтам, если пароли были слабыми и/или стандартными.
LastPass использует шифрование мастер-пароля как на клиентской, так и на серверной стороне, так что скорость их перебора будет очень низкой. Тем не менее, подбор простых паролей по списку самых распространенных паролей может привести к успеху.
Поэтому LastPass будет блокировать доступ к аккаунту в случае подключения с неизвестного устройства или IP адреса, и потребует подтверждения владения аккаунтом через email, и последующей смены пароля.
Если вы используете нестандартный пароль, и LastPass не просит его поменять, значит разработчики LastPass уверены в защищенности вашего аккаунта и менять пароль не обязательно.
Список стандартных паролей можно посмотреть, например, среди 85 тыс паролей, заблокированных к использованию в Dropbox.
