Сервіс LastPass зламали вдруге за останні три місяці. Ним користуються понад 30 млн осіб по всьому світу. Представники менеджера паролів LastPass визнали, що хакери вкрали зашифровані копії призначених для користувача паролів та інші важливі дані, зокрема платіжні адреси, телефонні номери та IP-адреси користувачів. Спочатку злом системи стався ще в серпні, наприкінці листопада – на початку грудня з’явилася інформація про те, які дані було вкрадено, а тепер у блозі компанії опублікували деталі.
Менеджер паролів LastPass зазнав хакерської атаки, яка виявилася дуже успішною для самих зломщиків, їм вдалося дістатися до призначених для користувача даних, але поки невідомо, до яких саме. Цілком імовірно, що тепер у них є доступ до паролів, які користувачі сервісу зберігають у своїх профілях.
Інформацію про злам LastPass і компрометацію користувацьких даних підтвердили і представники самого сервісу. Однак вони ретельно приховують як масштаби витоку, так і характер інформації, що опинилася в руках зловмисників, тож поки що в зоні ризику перебувають усі без винятку користувачі LastPass, а це мільйони людей по всьому світу. За даними порталу EarthWeb, на жовтень 2022 р. база користувачів LastPass налічувала 33 млн осіб.
До моменту виходу матеріалу представники LastPass не підтверджували, але й не заперечували витік саме паролів користувачів, розміщених у їхніх особистих онлайн-сховищах. Однак ризик саме такого результату хакерської атаки є. До того ж з урахуванням того факту, що LastPass за 14 років свого існування вже не раз допускав витоку паролів, ризик у цьому випадку великий.
Що робити?
Перше, що потрібно зробити користувачам – подивитися, які саме паролі зберігаються в хмарі та максимально швидко змінити їх, поки зловмисники не дісталися конкретно до них. Багато хто, наприклад, зберігає в таких менеджерах паролі від інтернет-банку або корпоративної електронної пошти.
Другий крок – це пошук якщо не заміни LastPass, то щонайменше запасного менеджера паролів з-поміж тих, що працюють у режимі офлайн. Такі програми зберігають базу паролів безпосередньо на пристрої користувача (часто в зашифрованому вигляді), що значно знижує ризик витоку її вмісту.
Менеджери паролів дають змогу користувачам зберігати їхні імена і паролі на різних сайтах в одному місці – доступ до них можна отримати, маючи майстер-пароль, створюваний самим користувачем. Last Pass не зберігає майстер-пароль і не розпоряджається ним. Інші зашифровані дані можна отримати тільки за допомогою «унікального ключа шифрування, отриманого за допомогою майстер-пароля користувача». Проте компанія попередила клієнтів, що вони можуть стати жертвами соціальної інженерії, фішингу та інших методів отримання інформації. Крім того, хакери можуть використовувати брутфорс-атаку для отримання майстер-пароля і дешифрування інших даних, що знаходяться в зашифрованому сховищі. Втім, у LastPass заявляють, що у зловмисників підуть «мільйони років» на те, щоб вгадати пароль за допомогою загальнодоступних технологій злому.
У компанії заявили, що компанія Mandiant, яка займається забезпеченням кібербезпеки, розслідує інцидент, а в самій LastPass повністю перебудовують усе робоче середовище – опосередковано це свідчить про те, що хакери добралися до значущих фрагментів коду та інших даних.
Також у LastPass повідомили, що розслідування триває, і компанія повідомила правоохоронним органам і профільним регуляторам про подію. Користувачам вона ж сама рекомендує зробити майстер-пароль не коротшим за 12 символів, змінити налаштування стандарту формування ключа Password-Based Key Derivation Function (PBKDF2) і, звісно, не використовувати майстер-пароль на інших сайтах. Детальніші актуальні рекомендації наводяться в блозі сервісу.
Ви можете допомогти Україні боротися з російськими окупантами. Найкращий спосіб зробити це – пожертвувати кошти Збройним Силам України через Savelife або через офіційну сторінку НБУ.