Плохая новость: владелец LastPass подтверждает, что резервные копии клиентов были украдены
25 января 2023 г.Еще одно сообщение о недавней утечке данных LastPass выявило даже еще потенциально плохие новости для пользователей менеджера паролей.
Пэдди Шринивасан, генеральный директор GoTo, материнской компании LastPass, сообщил в сообщении в блоге что злоумышленникам, нацелившимся на стороннее облачное хранилище, совместно используемое обеими фирмами, удалось эксфильтровать зашифрованные резервные копии, относящиеся к ряду продуктов.
Эти продукты включают Central, Pro, join.me, Hamachi и RemotelyAnywhere.
Ключ шифрования взят
Помимо зашифрованных резервных копий, злоумышленники также украли ключ шифрования для «части» зашифрованных резервных копий, добавил Шринивасан.
К данным, которые сейчас находятся под угрозой, относятся имена пользователей учетных записей, пароли с солью и хешированные пароли, часть настроек многофакторной аутентификации (MFA), а также некоторые настройки продукта и информация о лицензировании. Данные кредитной карты или банковские реквизиты не были затронуты. Даты рождения, домашние адреса и номера социального страхования также считаются безопасными, поскольку GoTo ничего из этого не хранит.
Кроме того, у «небольшого подмножества» пользователей Rescue и GoToMyPC были затронуты настройки MFA. Однако зашифрованные базы данных, как сообщается, не были захвачены.
Несмотря на то, что все пароли учетных записей были обработаны солью и хешированы «в соответствии с передовыми методами», GoTo по-прежнему сбрасывал пароли затронутых пользователей и повторно авторизовать настройки MFA, где это возможно. Генеральный директор также сообщил, что компания переносит затронутые учетные записи на расширенную платформу управления идентификацией, чтобы обеспечить дополнительную безопасность и более надежную аутентификацию и параметры безопасности на основе входа в систему.
Затронутые клиенты связываются напрямую, подтвердил Шринивасан. .
LastPass впервые сообщил об утечке данных в ноябре 2022 года. Первоначальное расследование показало, что хакерам удалось украсть хранилища клиентов, по сути, базы данных, содержащие все их пароли. Однако сами хранилища зашифрованы, а это означает, что мошенникам будет нелегко прочитать их содержимое.
«Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением», — сказал генеральный директор LastPass Карим Тубба. «Напоминаем, что мастер-пароль никогда не известен LastPass и не хранится и не поддерживается LastPass».
- Ознакомьтесь с нашим списком наилучшей защиты от кражи удостоверений личности решения прямо сейчас
Оригинал