Сеть компании LastPass взломана - включите мультифакторную аутентификацию

2015-06-16 | Автор | комментарии
LastPass уведомляет пользователей о том, что в пятницу, 12 июня 2015 года, в сети компании была обнаружена и заблокирована подозрительная активность

Сеть компании LastPass взломана - включите мультифакторную аутентификацию

В процессе внутреннего расследования прямых доказательств потери зашифрованных пользовательских данных не было обнаружено. Кроме того, признаков доступа к аккаунтам пользователей LastPass Password Manager также не зарегистрировано. Тем не менее, расследование показало, что электронные адреса, напоминания паролей, персональные криптографические модификаторы и хеши аутентификации были взломаны.

Представители компании уверены, что шифрования данных достаточно для защиты большинства пользователей. LastPass улучшает безопасность хэша аутентификации с помощью случайных значений и 100 000 итераций PBKDF2-SHA256, выполняемых на серверной стороне в дополнение к итерациям, исполняемым на клиентской части. Дополнительное усиление затрудняет атаки украденных хешей с любой значительной скоростью.

Тем не менее, вендор принимает дополнительные меры, чтобы удостовериться в безопасности данных. Пользователи, которые попытаются зайти в аккаунт LastPass с нового устройства или нового IP-адреса будут вынуждены пройти подтверждение операции по электронной почте, если мультифакторная аутентификация не активирована. В качестве дополнительной меры предосторожности, LastPass будет призывать пользователей поменять мастер-пароль.

Соответствующее электронное сообщение было отправлено всем пользователям, которых коснулся данный инцидент. LastPass будет побуждать пользователей поменять мастер-пароль. Однако, Вы можете не обновлять мастер-пароль, пока не получите соответствующий запрос. Как бы то ни было, если Вы использовали ваш мастер-пароль на других сайтах, Вам нужно поменять пароли на данных сайтах.

Так как зашифрованные данные не были украдены, Вам не нужно менять пароли для сайтов, сохраненные в хранилище LastPass. Как всегда, компания рекомендует активировать мультифакторную аутентификацию для дополнительной защиты вашего аккаунта.

Безопасность и конфиденциальность являются главными приоритетами LastPass. На протяжении многих лет компания использует прозрачные проактивные методы для защиты своих пользователей. В дополнение к перечисленным мерам, LastPass работает совместно с специализированными службами и судебными экспертами.

“Мы извиняемся за необходимости выполнения дополнительных шагов проверки аккаунта и обновления мастер-пароля, но верим, что данные меры обеспечат Вам лучшую защиту. Спасибо за понимание и поддержку” - сообщается в официальном блоге LastPass.

Часто задаваемые вопросы:

Почему меня не оповестили по электронной почте?

- Соответствующие электронные письма были отправлены всем пользователям, которых коснулся данный инцидент. Рассылка занимает больше времени, чем публикация сообщения в блоге, но мы пытаемся уведомить всех пользователей как можно скорее.

Нужно ли мне поменять мастер-пароль прямо сейчас?

- Учетные записи LastPass заблокированы. Доступ к своему аккаунту возможен только с доверенного IP-адреса или устройства - в противном случае потребуется верификация. Поэтому Мы уверены, что ваш аккаунт LastPass находится в безопасности. Тем не менее, если Вы использовали слабые пароли в качестве мастер-пароля (например: robert1, mustang, 123456799, password1!) или использовали мастер-пароль на других сайтах, нужно изменить его.

LastPass Security Notice. Перевод Comss.ru.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества