Обновление безопасности LastPass: были получены хранилища паролей клиентов

LastPass вернулся сегодня со своим последним заявлением об ущербе от нарушения безопасности. Хотя в начале декабря масштабы атаки не были ясны, теперь компания сообщила, что были получены копии хранилищ паролей клиентов, а также имена, адреса электронной почты, платежные адреса, номера телефонов и многое другое. Вот что вы должны знать.

Генеральный директор LastPass Карим Тубба написал сегодня обновление в блоге компании (обнаружено TechCrunch).

После сообщения 30 ноября о том, что его системы действительно были скомпрометированы через некоторое время после инцидента в августе 2022 года, теперь была раскрыта более полная картина ущерба.

Во-первых, LastPass говорит, что хакер имеет доступ к информации о клиентах, такой как имена, адреса, электронные письма, номера телефонов и многое другое.

«На сегодняшний день мы определили, что после получения ключа доступа к облачному хранилищу и ключей расшифровки двойного хранилища злоумышленник скопировал информацию из резервной копии, которая содержала базовую информацию об учетной записи клиента и связанные метаданные, включая названия компаний, имена конечных пользователей, платежные адреса. , адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к службе LastPass».

Более того, во время инцидента также были скопированы хранилища паролей клиентов:

«Злоумышленник также смог скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища, который хранится в проприетарном двоичном формате, который содержит как незашифрованные данные, такие как URL-адреса веб-сайтов, так и полностью зашифрованные конфиденциальные поля, такие как веб-сайт. имена пользователей и пароли, защищенные заметки и данные, заполненные формами. Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением. Напоминаем, что мастер-пароль никогда не известен LastPass, не хранится и не поддерживается LastPass. Шифрование и дешифрование данных выполняется только на локальном клиенте LastPass. Дополнительную информацию о нашей архитектуре с нулевым разглашением и алгоритмах шифрования см. здесь».

Хотя хранилища паролей пользователей по-прежнему защищены их мастер-паролями, хакер может использовать грубую силу, фишинг или атаки социальной инженерии. Так что будьте осторожны, если вы были клиентом LastPass.

LastPass заявляет, что его расследование все еще продолжается и «стремится держать вас в курсе наших выводов, а также информировать вас о действиях, которые мы предпринимаем, и любых действиях, которые вам могут потребоваться».

Ознакомьтесь с полным обновлением безопасности от LastPass, включая советы о том, что следует делать клиентам.