Нарушение безопасности LastPass, которое произошло еще в августе, позволило злоумышленникам получить доступ к данным клиентов, заявляет компания. Ранее сообщалось, что никакие данные клиентов не были скомпрометированы.
Владелец LastPass LogMeIn подчеркивает, что пароли клиентов не были скомпрометированы, поскольку компания использует сквозное шифрование, поэтому ключ дешифрования есть только у подписчика…
Главное
LastPass — менеджер паролей, конкурирующий с 1Password. При этом все ваши пароли хранятся в зашифрованном виде, и вы можете войти на любой веб-сайт, используя только один мастер-пароль для разблокировки хранилища. Если ваши устройства безопасно находятся в вашем распоряжении и защищены собственной системой безопасности, вы, как правило, оставляете свое хранилище незаблокированным до конца дня, что позволяет беспрепятственно входить во все ваши учетные записи.
Компания подтвердила сообщение о нарушении безопасности еще в августе. Злоумышленник получил доступ к среде разработки компании, а также смог получить доступ к исходному коду и другим техническим данным. В то время LogMeIn заявил, что не было доступа ни к данным клиентов, ни к производственной среде (это означало, что злоумышленник не мог отправить скомпрометированное обновление пользователям). Однако сегодняшний отчет показывает, что впоследствии данные клиентов были скомпрометированы.
(Оказалось, что более раннее предупреждение системы безопасности не имело ничего общего с LastPass: это был злоумышленник, использующий учетные данные для входа, полученные в другом месте, чтобы попытаться получить доступ к учетным записям LastPass. Поскольку весь смысл использования менеджера паролей заключается в том, чтобы один сервис, это вряд ли увенчалось успехом.)
Нарушение безопасности LastPass хуже, чем сообщалось
Теперь LogMeIn заявил, что, хотя первоначальная атака не позволяла получить доступ к данным клиентов, информация, полученная во время этой атаки, впоследствии использовалась для этого.
Недавно мы обнаружили необычную активность в стороннем облачном хранилище, которым в настоящее время пользуются как LastPass, так и его дочерняя компания GoTo. Мы немедленно начали расследование, привлекли Mandiant, ведущую охранную фирму, и уведомили правоохранительные органы.
Мы установили, что неавторизованная сторона, используя информацию, полученную в ходе инцидента в августе 2022 года, смогла получить доступ к некоторым элементам информации наших клиентов. Пароли наших клиентов остаются надежно зашифрованными благодаря архитектуре LastPass с нулевым разглашением.
Генеральный директор компании Карим Тубба говорит, что он все еще работает над определением масштабов атаки и выявлением конкретных данных клиентов, к которым был получен доступ. Мы ожидаем, что компания уведомит пострадавших клиентов, как только она это сделает.
Компания подчеркивает рекомендации по безопасности
Компания указала пользователям на свои рекомендации по безопасности при использовании LastPass. Самым важным из них, конечно же, является использование очень надежного уникального пароля в качестве главного пароля. Любой, кто сможет получить этот пароль, получит доступ ко всем вашим логинам.
Обзор
Любая утечка данных клиента — это смущение, но не больше, чем когда это происходит с менеджером паролей. Мы ожидаем, что компания будет полностью прозрачна в ходе расследования и по его завершении. Он также должен напрямую связаться со всеми клиентами, к чьим данным был получен доступ, чтобы точно определить, какая информация была скомпрометирована.
