Материнская компания службы управления паролями LastPass, которая в конце 2022 года обнаружила, что хранилища паролей всей ее клиентская база теперь оказалась в руках преступников, объявила, что ключи шифрования для некоторых других ее продуктов были тоже скомпрометирован.
Что это значит для его пользователей?
В чем заключалась утечка данных LastPass в 2022 году?
У LastPass и его клиентов 2022 год был не самым лучшим. В августе компания объявила в заниженной Сообщение блога что преступники получили доступ к среде разработки LastPass, исходному коду и технической информации. Формулировка была обнадеживающей, и в ней говорилось о «необычной деятельности» и инциденте как о «событии». Раздел часто задаваемых вопросов заверил клиентов в том, что их хранилища, пароли и мастер-пароли в безопасности, при этом заявив: «Мы не рекомендуем никаких действий от имени наших пользователей или администраторов».
Месяц спустя, после расследования, проведенного совместно с Mandiant, первоначальный пост в блоге был обновлен, чтобы еще больше успокоить пользователей LastPass. было «никаких доказательств того, что этот инцидент был связан с каким-либо доступом к данным клиентов или зашифрованным хранилищам паролей», и в дальнейшем покровительствовал пользователям с помощью признавая, что «инциденты с безопасностью любого рода вызывают тревогу, но [мы] хотим заверить вас, что ваши личные данные и пароли находятся в безопасности в нашем Забота."
Однако в конце ноября 2022 года блог был снова обновлен с признанием того, что злоумышленникам удалось скрыться с «некоторыми элементами информации наших клиентов».
Окончательно, в декабрьском обновлении 2022 года LastPass признался к тому факту, что преступникам удалось эксфильтровать хранилища личных данных миллионов клиентов, содержащие незашифрованные URL-адреса веб-сайтов и названия сайтов, а также зашифрованные имена пользователей и пароли вместе с данными резервного копирования, включая имена клиентов, адреса и номера телефонов, адреса электронной почты, IP-адреса и частичную кредитную карту числа.
Опять же, LastPass стремился сдержать репутационный ущерб, заявив, что «потребуются миллионы лет, чтобы угадать ваш мастер-пароль с использованием общедоступной технологии взлома паролей».
Что еще хуже для пользователей LastPass?
LastPass — это независимая компания, принадлежащая GoTo (поставщик SaaS, ранее известный как LogMeIn), и хотя взлом LastPass привлек больше всего внимание, первоначальное проникновение было сторонним облачным хранилищем, которое используется как GoTo, так и ЛастПасс. Как LastPass был скомпрометирован, так и GoTo. Злоумышленникам удалось получить зашифрованные резервные копии обеих компаний.
23 января 2023 г. GoTo опубликовала заявление в своем блоге. заявив, что у него есть «доказательства того, что субъект угрозы похитил ключ шифрования для части зашифрованных резервных копий», и, кроме того, что Настройки многофакторной аутентификации (MFA) пострадала небольшая часть их клиентов.
Это означает, что преступники могут легко расшифровать украденное, не ожидая для этого миллионы лет.
Неизвестно, были ли также украдены ключи шифрования хранилища LastPass.
Сообщения о компрометации хранилищ LastPass
Почти сразу после публикации декабрьского обновления читатели связались с MUO, заявив, что одноразовые пароли хранящиеся только в хранилищах LastPass, использовались преступниками для доступа к онлайн-аккаунтам, что приводило к подмене SIM-карт атаки.
В Твиттере пользователи сообщили, что криптовалютные кошельки подвергались атакам и лишались их содержимого — эти семена, как сообщается, хранились исключительно в хранилищах LastPass.
Пока что LastPass не прокомментировала ни эти слухи, ни разоблачения материнской компании.
GoTo по крайней мере начал связываться с затронутыми пользователями, и все пароли были автоматически сброшены.
Меняйте пароли на все
Службы управления паролями существуют для того, чтобы ваши пароли были в безопасности и чтобы их невозможно было угадать. Если у преступников есть ключи от этого хранилища, то ваши пароли может использовать кто угодно по своему усмотрению.
Первое, что вы должны сделать, это изменить свои пароли для каждой службы, к которой вы когда-либо обращались в Интернете. Там, где это возможно, вы также должны использовать уникальное имя пользователя и адрес электронной почты.
Никогда не стоит доверять свои самые сокровенные секреты кому-то еще для защиты. BitWarden — это менеджер паролей, который вы можете разместить на своем собственном оборудовании и который будет генерировать имена пользователей, псевдонимы электронной почты и пароли для каждого сайта, который вы посещаете. Поскольку вы запускаете его на своей собственной машине, вам не нужно оставлять свои пароли на сомнительное попечение другой компании.
