В процессе внутреннего расследования прямых доказательств потери зашифрованных пользовательских данных не было обнаружено. Кроме того, признаков доступа к аккаунтам пользователей LastPass Password Manager также не зарегистрировано. Тем не менее, расследование показало, что электронные адреса, напоминания паролей, персональные криптографические модификаторы и хеши аутентификации были взломаны.
Представители компании уверены, что шифрования данных достаточно для защиты большинства пользователей. LastPass улучшает безопасность хэша аутентификации с помощью случайных значений и 100 000 итераций PBKDF2-SHA256, выполняемых на серверной стороне в дополнение к итерациям, исполняемым на клиентской части. Дополнительное усиление затрудняет атаки украденных хешей с любой значительной скоростью.
Тем не менее, вендор принимает дополнительные меры, чтобы удостовериться в безопасности данных. Пользователи, которые попытаются зайти в аккаунт LastPass с нового устройства или нового IP-адреса будут вынуждены пройти подтверждение операции по электронной почте, если мультифакторная аутентификация не активирована. В качестве дополнительной меры предосторожности, LastPass будет призывать пользователей поменять мастер-пароль.
Соответствующее электронное сообщение было отправлено всем пользователям, которых коснулся данный инцидент. LastPass будет побуждать пользователей поменять мастер-пароль. Однако, Вы можете не обновлять мастер-пароль, пока не получите соответствующий запрос. Как бы то ни было, если Вы использовали ваш мастер-пароль на других сайтах, Вам нужно поменять пароли на данных сайтах.
Так как зашифрованные данные не были украдены, Вам не нужно менять пароли для сайтов, сохраненные в хранилище LastPass. Как всегда, компания рекомендует активировать мультифакторную аутентификацию для дополнительной защиты вашего аккаунта.
Безопасность и конфиденциальность являются главными приоритетами LastPass. На протяжении многих лет компания использует прозрачные проактивные методы для защиты своих пользователей. В дополнение к перечисленным мерам, LastPass работает совместно с специализированными службами и судебными экспертами.
“Мы извиняемся за необходимости выполнения дополнительных шагов проверки аккаунта и обновления мастер-пароля, но верим, что данные меры обеспечат Вам лучшую защиту. Спасибо за понимание и поддержку” - сообщается в официальном блоге LastPass.
Часто задаваемые вопросы:
- Почему меня не оповестили по электронной почте?
- Соответствующие электронные письма были отправлены всем пользователям, которых коснулся данный инцидент. Рассылка занимает больше времени, чем публикация сообщения в блоге, но мы пытаемся уведомить всех пользователей как можно скорее.
- Нужно ли мне поменять мастер-пароль прямо сейчас?
- Учетные записи LastPass заблокированы. Доступ к своему аккаунту возможен только с доверенного IP-адреса или устройства - в противном случае потребуется верификация. Поэтому Мы уверены, что ваш аккаунт LastPass находится в безопасности. Тем не менее, если Вы использовали слабые пароли в качестве мастер-пароля (например: robert1, mustang, 123456799, password1!) или использовали мастер-пароль на других сайтах, нужно изменить его.
LastPass Security Notice. Перевод Comss.ru.
Угрозы безопасности
• Ботнет MikroTik использует уязвимость в DNS для распространения вирусов
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг