LastPass быў узламаны другі раз за тры месяцы. Ім карыстаюцца больш за 30 мільёнаў чалавек па ўсім свеце. Менеджэр пароляў LastPass прызнаў, што хакеры скралі зашыфраваныя копіі пароляў карыстальнікаў і іншых канфідэнцыйных даных, у тым ліку плацежныя адрасы карыстальнікаў, нумары тэлефонаў і IP-адрасы. Спачатку сістэму ўзламалі яшчэ ў жніўні, у канцы лістапада - пачатку снежня з'явілася інфармацыя аб тым, якія дадзеныя былі скрадзеныя, а цяпер у блогу кампаніі з'явіліся падрабязнасці.
Менеджэр пароляў LastPass быў узламаны, што аказалася вельмі паспяховым для саміх хакераў, ім удалося дабрацца да дадзеных карыстальніка, але пакуль невядома да чаго менавіта. Цалкам верагодна, што цяпер яны маюць доступ да пароляў, якія карыстальнікі сэрвісу захоўваюць у сваіх профілях.
Інфармацыю аб узломе LastPass і ўзломе дадзеных карыстальнікаў таксама пацвердзілі прадстаўнікі самога сэрвісу. Аднак яны старанна хаваюць як маштабы ўцечкі, так і характар інфармацыі, якая апынулася ў руках зламыснікаў, таму пакуль пад пагрозай знаходзяцца ўсе без выключэння карыстальнікі LastPass, а гэта мільёны людзей па ўсім свеце. Па дадзеных партала EarthWeb, па стане на кастрычнік 2022 года база карыстальнікаў LastPass налічвала 33 мільёны чалавек.
Да моманту выхаду матэрыялу прадстаўнікі LastPass не пацвердзілі, але і не абверглі факт уцечкі пароляў карыстальнікаў, якія знаходзяцца ў іх асабістых онлайн-сховішчах. Аднак існуе рызыка менавіта такога выніку хакерскай атакі. Акрамя таго, з улікам таго, што за 14 гадоў існавання LastPass не аднойчы дапускаў уцечку пароляў, рызыка ў дадзеным выпадку высокая.
Што я буду рабіць?
Першае, што трэба зрабіць карыстальнікам, гэта паглядзець, якія паролі захоўваюцца ў воблаку, і змяніць іх як мага хутчэй, перш чым зламыснікі дабяруцца да іх канкрэтна. У такіх менеджэрах многія, напрыклад, захоўваюць паролі ад інтэрнэт-банка або карпаратыўнай пошты.
Другі крок - знайсці калі не замену LastPass, то хаця б рэзервовы менеджэр пароляў з тых, што працуюць у аўтаномным рэжыме. Такія праграмы захоўваюць базу пароляў непасрэдна на прыладзе карыстальніка (часта ў зашыфраваным выглядзе), што значна зніжае рызыку ўцечкі яе змесціва.
Менеджэры пароляў дазваляюць карыстальнікам захоўваць свае імёны карыстальнікаў і паролі на розных сайтах у адным месцы - доступ да іх ажыццяўляецца з дапамогай галоўнага пароля, створанага карыстальнікам. Last Pass не захоўвае і не ўтылізуе галоўны пароль. Іншыя зашыфраваныя дадзеныя могуць быць атрыманы толькі з дапамогай «унікальнага ключа шыфравання, атрыманага з галоўнага пароля карыстальніка». Аднак кампанія папярэдзіла кліентаў, што яны могуць стаць ахвярамі сацыяльнай інжынерыі, фішынгу і іншых метадаў атрымання інфармацыі. Акрамя таго, хакеры могуць выкарыстоўваць атаку грубай сілы, каб атрымаць галоўны пароль і расшыфраваць іншыя дадзеныя, якія знаходзяцца ў зашыфраваным сховішчы. Аднак LastPass сцвярджае, што зламыснікам спатрэбяцца «мільёны гадоў», каб адгадаць пароль з дапамогай агульнадаступных метадаў узлому.
У кампаніі заявілі, што кампанія Mandiant, якая забяспечвае кібербяспеку, расследуе інцыдэнт, а сама LastPass цалкам перабудоўвае ўсю рабочую сераду - гэта ўскосна паказвае на тое, што хакеры дабраліся да значных фрагментаў кода і іншых дадзеных.
LastPass таксама паведаміў, што расследаванне працягваецца, і кампанія апавясціла аб інцыдэнце праваахоўныя і адпаведныя рэгулятары. Сама яна рэкамендуе карыстальнікам зрабіць галоўны пароль не карацейшым за 12 знакаў, змяніць налады стандарту генерацыі ключоў Password-Based Key Derivation Function (PBKDF2) і, вядома, не выкарыстоўваць галоўны пароль на іншых сайтах. Даюцца больш падрабязныя бягучыя рэкамендацыі у блогу службы.
Вы можаце дапамагчы Украіне змагацца з расейскімі захопнікамі. Лепшы спосаб зрабіць гэта - ахвяраваць сродкі Узброеным сілам Украіны праз Выратаваць жыццё або праз афіцыйную старонку НБУ.