Компанія LastPass, яка обіцяє зберігати всі ваші паролі в одному безпечному місці, тепер каже, що хакери змогли «скопіювати резервну копію даних сховища клієнтів». Теоретично, тепер вони мають доступ до всіх цих паролів.
- Менеджер паролів Google замінює вбудований список облікових даних Chrome на Android
- Google розказала, як захищає паролі своїх користувачів
Якщо у вас є обліковий запис, який ви використовуєте для зберігання паролів і даних для входу в LastPass, або у вас був такий обліковий запис, але ви не видалили його до цієї осені, ваше сховище паролів може опинитися в руках хакерів. Тим не менш, компанія стверджує, що ви можете бути в безпеці. Це якщо у вас є надійний майстер-пароль і його останні налаштування є типовими. Однак, якщо у вас слабкий майстер-пароль, компанія каже, що «як додатковий захід безпеки вам слід змінити паролі до вебсайтів, які ви зберегли».
LastPass має проблеми ще з серпня
LastPass наполягає на тому, що паролі, як і раніше, захищені майстер-паролем облікового запису. Але через те, як компанія повелася з інформацією про розкриття злому, наразі важко просто повірити їй на слово.
Коли компанія оголосила про злом у серпні, вона заявила, що не вірить у доступ до даних користувача. Потім, у листопаді, LastPass заявила, що виявила вторгнення, яке, мабуть, спиралося на інформацію, вкрадену під час серпневого інциденту. Це вторгнення дозволило комусь отримати доступ до певних елементів інформації про клієнта.
Зловмисник також зміг скопіювати резервну копію даних сховища клієнтів із зашифрованого контейнера сховища. Він зберігається у пропрієтарному двійковому форматі, що містить як незашифровані дані, як-от URL-адреси вебсайтів, так і повністю зашифровані конфіденційні поля, як-от імена користувачів та паролі, захищені нотатки і дані, заповнені формами.
Компанія стверджує, що єдиний спосіб, яким зловмисник зможе отримати ці зашифровані дані і, отже, ваші паролі, є ваш майстер-пароль. LastPass каже, що ніколи не мала доступу до майстер-паролів.
LastPass каже, що використання рекомендованих типових налаштувань має захистити вас від таких атак. Але не згадує жодних функцій, які не дозволили б комусь неодноразово намагатися розблокувати сховище протягом декількох днів, місяців або років. Існує також ймовірність того, що майстер-паролі людей доступні іншими способами. Наприклад, якщо хтось повторно використовує свій майстер-пароль для інших входів до системи, він міг стати відомим під час інших витоків даних.
Також варто зазначити, що якщо у вас старіший обліковий запис (до нового типового налаштування після 2018 року), для захисту вашого майстер-паролю міг використовуватися слабкіший процес посилення пароля.