В августе этого года стало известно о хакерской атаке на крупнейший сервис хранения паролей LastPass. Тогда компания говорила, что хакеры смогли похитить исходный код и конфиденциальную информацию компании, но данные с паролями не были взломаны, и пользователям не нужно предпринимать никаких действий для защиты своих учётных записей. Но теперь выяснилось, что на самом деле всё было хуже, чем говорилось изначально.
22 декабря администрация LastPass объявила, что последний взлом оказался более разрушительным. Дело в том, что хакеры смогли получить доступ к данным пользователей и «скопировать резервную копию данных хранилища клиентов». Таким образом, у злоумышленников есть как минимум полный набор зашифрованных личных данных пользователей LastPass. И если они смогут взломать украденные хранилища, то, теоретически, у них будет доступ ко всем паролям клиентов.
«Во время инцидента в августе 2022 года не было доступа к данным клиентов», — сообщил генеральный директор LastPass Карим Тубба.
Тем не менее, некоторая часть исходного кода приложения была украдена, а затем использована для фишинга сотрудника Lastpass. В результате удалось получить доступ к его учётным данным, а затем полученные таким образом ключи хакеры использовали для расшифровки и копирования «некоторых томов хранилища в облачной службе хранения».
Полученные хакерами зашифрованные данные включают основные сведения об учётной записи клиента, включая названия компаний, платёжные данные, адрес электронной почты, IP-адреса, телефонные номера.
«Эти зашифрованные поля остаются защищенными с помощью 256-битного AES шифрования и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением», — сказал Тубба. «Напоминаем, что мастер-пароль не известен LastPass, не хранится и не обслуживается LastPass».
Тем не менее, учитывая масштаб утечки и потенциальные угрозы, пользователям LastPass есть смысл поменять все пароли для всех своих учётных записей, а также сменить мастер-пароль.
Источник: Engadget