Несколько недель назад команда сервиса LastPass опубликовала в своем блоге заявление о том, что у них произошла утечка паролей. Тогда генеральный директор LastPass Карим Тубба (Karim Toubba) не стал вдаваться в подробности, а только сообщил, что инцидент произошел на стороне стороннего облачного хранилища, которое использует менеджер паролей. Спустя время компания решила обнародовать детали того, что произошло.
В отчёте говорится, что данные клиентов не пострадали, однако были украдены исходный код и некоторая техническая информация. С её помощью злоумышленники получили учётные данные и ключи одного из сотрудников, которые затем использовались для расшифровки и доступа к информации в облачном хранилище. В конечном счёте в распоряжении злоумышленников оказались имена конечных пользователей, платёжные данные, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к LastPass. Кроме того, были получены данные хранилища клиентов, которые содержали зашифрованные имена пользователей и пароли веб-сайтов, защищённые заметки и данные заполненных форм.
Исходя из этого, есть хорошие новости и плохие. Хорошая новость заключается в том, что все эти данные зашифрованы, и для доступа к ним требуется мастер-пароль пользователя. Плохая новость в том, что злоумышленник может попытаться расшифровать данные методом подбора пароля, но на это уйдёт много времени. В LastPass не исключают такого варианта. Если пароль непростой, то это будет чрезвычайно сложно. Кроме того, глава сервиса предупреждает, что в ближайшее время фишинговые атаки могут участиться, чтобы застать пользователей врасплох и получить доступ к мастер-паролям. Соответственно, нужно быть начеку.
LastPass уже давно требует пароли, состоящие минимум из 12 символов, а недавно сервис внёс изменения в свою инфраструктуру, чтобы предотвратить подобные взломы в будущем.