У серпні цього року стало відомо про хакерську атаку на найбільший сервіс для зберігання паролів LastPass. Тоді компанія заявила, що хакери змогли викрасти вихідний код та конфіденційну інформацію компанії, але дані з паролями не були зламані, і користувачам не потрібно вживати жодних дій для захисту своїх облікових записів. Але тепер виявилося, що насправді все було гірше, ніж говорилося спочатку.
22 грудня адміністрація LastPass оголосила, що останній злам був більш руйнівним. Річ у тому, що хакери змогли отримати доступ до даних користувачів та «скопіювати резервну копію даних сховища клієнтів». Таким чином, зловмисники мають щонайменше повний набір зашифрованих особистих даних користувачів LastPass. І якщо вони зможуть зламати викрадені сховища, то теоретично вони матимуть доступ до всіх паролів клієнтів.
«Під час інциденту в серпні 2022 року не було доступу до даних клієнтів», – сказав генеральний директор LastPass Карім Тубба.
Однак, якась частина вихідного коду програми була викрадена, а потім використовувалася для фішингу працівника LastPass. Як результат, вдалося отримати доступ до його облікових даних, а потім хакери використали отримані таким чином ключі, щоб розшифрувати та скопіювати «деякі томи сховища в хмарній службі зберігання».
Зашифровані дані, отримані хакерами, включають основну інформацію про обліковий запис клієнта, включаючи назву компаній, платіжні дані, електронну адресу, IP-адреси, номери телефонів.
«Ці зашифровані поля залишаються захищеними за допомогою 256-бітного шифрування AES і можуть бути розшифровані лише за допомогою унікального ключа шифрування, отриманого з мастер-пароля кожного користувача, використовуючи нашу архітектуру з нульовим розкриттям», – сказав Тубба. «Ми нагадуємо вам, що мастер-пароль не відомий LastPass, не зберігається і не обслуговується LastPass».
Проте, враховуючи масштаб витоку та потенційних загроз, користувачам LastPass є сенс змінити всі паролі для всіх своїх облікових записів, а також змінити мастер-пароль.
Джерело: Engadget