LastPass: хакеры крадут зашифрованные пароли клиентов

Хакеры, укравшие данные из LastPass этим летом, похитили зашифрованные имена пользователей и пароли. Они зашифрованы AES-256, и мастер-пароль не украден при атаке. Пароли могут быть перебором.

Хакер получил доступ к резервной копии хранилища данных клиентов, которое содержало незашифрованные данные, такие как URL-адреса, имена пользователей, пароли и зашифрованные заметки. Заполнить форму даты. Эти данные могут быть зашифрованы Согласно LastPass Его можно расшифровать только с помощью мастер-пароля. LastPass не хранит этот пароль.

Этот мастер-пароль можно восстановить с помощью методов грубой силы, и зашифрованные данные все еще могут быть прочитаны, признает LastPass. Компания заявляет, что если пользователи будут следовать рекомендациям LastPass, таким как 12-символьный мастер-пароль, должны пройти миллионы лет, чтобы пароль стал методом грубой силы «с использованием популярных сегодня методов грубой силы».

Итак, LastPass говорит, что этим пользователям не нужно предпринимать никаких действий. LastPass только советует пользователям, которые имеют более короткие пароли, используют их в другом месте или чьи пароли не защищены недавней реализацией алгоритма pbkdf2 LastPass, менять пароли на веб-сайтах. LastPass увеличил свою реализацию pbkdf2 до 100 100 итераций в 2018 году, но только для мастер-паролей, сгенерированных впоследствии.

Компания не сообщает, сколько клиентов пострадало, но попросила совета у «менее трех процентов» всех корпоративных клиентов, чтобы принять меры. Для этого компания заглянула в настройки этих клиентов. По словам компании, бизнес-клиентам, с которыми LastPass не связался, не нужно предпринимать никаких действий. Компания ничего не говорит о частных клиентах.

Хакеры получают доступ к паролям пользователей После предыдущей хакерской атаки в августе. Таким образом хакер получил доступ к среде разработки LastPass и украл исходный код и другую техническую информацию. Эта информация использовалась хакерами для «нацеливания» на сотрудника и получения учетных данных для входа и доступа к облачному хранилищу LastPass.

Менеджер паролей Ранее в этом месяце он сказал, что данные клиентов были просмотрены, включая имена пользователей или компаний, адреса, адреса электронной почты, номера телефонов и IP-адреса. Пока что LastPass признает, что зашифрованные пароли также были украдены. LastPass заявляет, что предпринял несколько шагов, чтобы снизить риск последующего взлома, включая дополнительные возможности ведения журнала, новые среды разработки и улучшенную аутентификацию учетной записи разработчика. Полиция и соответствующие регулирующие органы были уведомлены LastPass. Компания также предупреждает пользователей о попытках фишинга после взлома.