Согласно публикации, две недели назад разработчик менеджера паролей LastPass обнаружил «подозрительную активность» в среде разработки своих продуктов. После проведения расследования было установлено, что «неуполномоченные лица» получили доступ к определенным разделам среды разработки через скомпрометированную учетную запись разработчика.
Злоумышленникам удалось заполучить «фрагменты исходного кода и некоторую проприетарную техническую информацию LastPass». Компания заявляет, что продукты и сервисы не затронуты, и пользовательские данные не подвергаются опасности.
Для расследования взлома LastPass привлекла «ведущую компанию в области кибербезопасности и компьютерной криминалистики». Также были незамедлительно приняты меры по сдерживанию и смягчению последствий атаки. LastPass заявляет, что проблема была локализована и были приняты дополнительные меры безопасности. Компания не нашла доказательств дальнейшей несанкционированной активности в среде разработки или где-либо еще в своей инфраструктуре.
В разделе ответов на вопросы LastPass отмечает, что пользовательские данные не были скомпрометированы. По словам компании, модель безопасности «с нулевым разглашением» гарантирует безопасность мастер-паролей. LastPass рекомендует пользователям следовать передовым методам дополнительной защиты, в том числе использовать собственное приложение для многофакторной аутентификации LastPass Authenticator. Приложение добавляет второй уровень аутентификации в процесс проверки входа.
Данный августовский инцидент оказался не первым в истории компании. Еще один взлом произошел в 2015 году. Тогда злоумышленникам удалось украсть пользовательские данные, включая адреса электронной почты, напоминания паролей, хэши аутентификации и другие сведения.
В 2021 году LastPass объявила, что станет независимой компанией. Анонсированные изменения в бесплатной версии LastPass привели к массовому оттоку пользователей в пользу других бесплатных решений для управления паролями, включая Bitwarden и KeePass.
Дополнительная информация об инциденте безопасности не раскрывается. Неизвестно, могут ли киберпреступники использовать загруженные данные для разработки дальнейших атак против компании и ее пользователей?
В общем случае, пользователям менеджеров паролей рекомендуется следовать передовым методам защиты своих учетных записей. Один из лучших вариантов защиты включает реализацию двухфакторной аутентификации. В зависимости от конкретного продукта могут быть доступны и другие возможности, в том числе разделение баз паролей.
Пользователям не о чем беспокоиться
Похоже, что утечка в среде разработки LastPass, произошедшая в августе 2022 года имела ограниченный масштаб. Согласно заявлению, пользовательские данные и основные сервисы не были взломаны.
А вы используете менеджер паролей?
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания