30 ноября LastPass уведомила пользователей о том, что расследует августовский «инцидент безопасности», приведший к краже данных пользователей.
Теперь генеральный директор LastPass Карим Тубба опубликовал в блоге, информацию для пользователей о том, что были украдены данные пользовательских аккаунтов.
На сегодняшний день мы определили, что после получения ключа доступа к облачному хранилищу и ключей расшифровки контейнера хранения, злоумышленник может скопировать информацию из резервной копии, которая содержит основную информацию об учетной записи клиента и соответствующие метаданные, включая названия компаний, имена конечных пользователей, адреса выставления счетов, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass
Хакер также создал копию данных хранилища клиентов, которые, по словам компании, «хранятся в собственном двоичном формате». Некоторые данные хранилища, такие как URL-адреса веб-сайтов, не шифруются. Другие данные, такие как имена пользователей и пароли, «защищены 256-битным шифрованием AES», которое, по утверждению компании, не может быть расшифровано хакерами.
«Зашифрованные данные могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из главного пароля каждого пользователя архитектуры Zero Knowledge», – пишет Тубба. «Напоминаем, что мастер-пароль никогда не известен LastPass, не хранится и не поддерживается LastPass.»
Компания утверждает, что вероятность того, что хакеры смогут расшифровать данные, крайне мала, но пользователи компании могут стать мишенью для фишинговых атак или атак социальной инженерии.
LastPass уже попадал под огонь за сомнительную практику безопасности в прошлом.
В декабре 2021 года пользователи LastPass сообщили о многочисленных попытках входа в систему с использованием правильных мастер-паролей из разных мест. Компания заверила клиентов, что атаки были результатом утечки паролей в результате взлома третьих лиц.
В феврале 2021 года исследователь безопасности обнаружила систему слежения в приложении LastPass для Android.
Комментарии (0)