LastPass подтверждает, что хакеры украли зашифрованные хранилища паролей... четыре месяца назад
29 декабря 2022 г.Отслеживание всех наших паролей — сложная задача, особенно потому, что повторно использовать их в нескольких аккаунтах — плохая практика. Кроме того, они должны быть надежными и сложными для угадывания. Наше лучшее решение - использовать менеджер паролей, таким образом мы можем получить надежные и трудно угадываемые пароли, и мы избегаем хлопот с запоминанием их всех (что, кстати, я не могу), они все в одном месте, но что произойдет, если ваш менеджер паролей взломает систему безопасности и произойдет утечка вашего хранилища паролей? Это случилось четыре месяца назад, а вам говорят только сейчас.
Краткий обзор того, что происходило
25 августа 2022 г.
LastPass опубликовал официальное уведомление о том, что они заметили необычную активность. двумя неделями ранее и начал расследование, но не было никаких доказательств доступа к каким-либо данным клиентов. Судя по всему, злоумышленник имел доступ только к части исходного кода через среду разработки.
15 сентября 2022 г.
Они завершили свое расследование и экспертизу вместе с командой Mandiant. После завершения расследования они пришли к выводу, что действия злоумышленников ограничивались 4 дня в августе, и команда быстро локализовала инцидент.
Также, согласно их расследованию, нарушение произошло в среде разработки, которая технически не имеет доступа к данным клиентов или хранилищам паролей.
Даже имея доступ к зашифрованным хранилищам паролей пользователей, ничего нельзя сделать без мастер-пароля пользователя, который является частью их модели безопасности с нулевым разглашением (хотя имейте в виду последнее предложение)
30 ноября 2022 г.
В рамках своих обязательств по обеспечению прозрачности они добавили обновленную информацию о ситуации со взломом, заявив, что заметили необычную активность в стороннем облачном хранилище, которое совместно используется LastPass и GoTo, и снова начали расследование. с командой Mandiant.
На этот раз они заявили, что взлом, произошедший в августе, фактически предоставил злоумышленнику доступ к «определенным элементам» информации о клиентах, но все пароли безопасны, опять же, из-за их модели безопасности с нулевым разглашением.
Что сейчас происходит?
Днем, 22 декабря 2022 года, компания LastPass сообщила общественности, что в результате августовского нарушения безопасности злоумышленник смог получить личную информацию, включая название компании, имя конечного пользователя, адреса электронной почты и платежные адреса. , номера телефонов и IP-адреса, а также, подождите, Хранилища паролей. :exploding_head:
Согласно LastPass, ваше хранилище паролей абсолютно безопасно и его невозможно взломать, учитывая, что вы следовали всем их рекомендациям по безопасному созданию мастер-пароля.
На данный момент нет никаких доказательств утечки каких-либо незашифрованных данных кредитной карты, что на данный момент вызывает у меня опасения, поскольку потребовалось 4 месяца, чтобы обнародовать информацию о том, что PII и хранилища паролей находятся в руках злоумышленников.
Вы можете ознакомиться с полным уведомлением об инциденте здесь
Насколько безопасны мои пароли?
Если вы следовали всем рекомендациям LastPass по созданию паролей, вы, вероятно, в безопасности, злоумышленники начнут использовать словари миллиардов уже утекших паролей (словарь RockYou2021 содержит невероятные 8,4 миллиарда паролей), чтобы ускорить процесс.
Злоумышленники также могут попытаться взломать ваш пароль, но если вы думаете, что это займет у них очень много времени, подумайте еще раз. По мере развития технологий время на взлом паролей также сокращается, скачок между RTX 3090 и RTX 4090 почти в 2 раза почти для каждого алгоритма.
Вам может быть интересно, сколько времени потребуется кому-то, чтобы взломать сложный пароль, кто-то действительно проверил это на самом последнем оборудовании, они использовали 8-карточную установку RTX 4090 и смогли взломать очень сложный 8-значный пароль. за 48 минут с использованием Hashcat, согласно этому BitDefender статья.
Поэтому для дополнительной уверенности в безопасности ваших учетных записей настоятельно рекомендуется изменить пароли всех учетных записей, которые вы сохранили в LastPass, включая ваш мастер-пароль.
Оригинал