Почему вам следует как можно скорее перейти на новую службу управления паролями
Письмо пришло в 6 утра в пятницу перед рождественскими выходными. У LastPass есть обновление о недавнем инциденте с безопасностью, и он просит меня щелкнуть ссылку на их блог, чтобы узнать больше. Ссылка приветствует меня всплывающим окном, в котором меня радостно просят подписаться на будущие обновления.
Если кто-то хочет спрятать плохие новости, лучшего способа для этого не найти.
Что случилось?
Еще в августе 2022 года группа хакеров получила доступ к одной из сред разработки LastPass и украла исходный код и техническую информацию. Затем они использовали эту информацию для непосредственной атаки на компьютер сотрудника и получили учетные данные для доступа к серверу данных LastPass. Вооружившись учетными данными, они похитили личные данные пользователей LastPass, в том числе
- их адреса электронной почты,
- их платежные адреса (если они платили за премиум-услуги),
- URL-адреса веб-сайтов (незашифрованные!) для логинов, хранящиеся в их хранилище, и
- зашифрованные имя пользователя и пароли для этих логинов.
По какой-то причине LastPass не раскрыл ни точного числа пострадавших пользователей из 30 миллионов пользователей, ни точной даты утечки данных.
Что это значит?
Это плохо.
Во-первых, если вы являетесь пользователем LastPass, злоумышленники теперь имеют доступ к вашему адресу электронной почты, а также ко всем URL-адресам, которые вы сохранили в своем хранилище LastPass. Если вы заплатили за LastPass Premium, вероятно, у них также есть ваш физический адрес. При этом они могут атаковать вас фишинговыми атаками (например, связываясь с вами и притворяясь Amazon) или атаками с заполнением учетных данных (пытаясь использовать пароли из других существующих утечек данных, чтобы проникнуть в ваши онлайн-аккаунты).
Во-вторых, единственное, что стоит между злоумышленниками и всеми вашими именами пользователей и паролями, которые вы сохранили в своем хранилище LastPass, — это шифрование данных. Шифрование можно взломать с помощью грубой силы (пробуя все возможные комбинации паролей). Это может занять от нескольких дней до столетий, в зависимости от надежности вашего мастер-пароля и вычислительной мощности, которую эти злоумышленники используют для решения проблемы.
Однако даже если ваш мастер-пароль достаточно надежен, чтобы атака грубой силы с использованием современных технологий заняла столетия, с квантовыми компьютерами это может измениться. Злоумышленники могут намеренно красть и хранить зашифрованные данные сейчас, надеясь расшифровать их, когда квантовая технология станет достаточно зрелой. Modus Operandi — Укради сейчас, расшифруй потом.
Что должны делать клиенты LastPass?
Если вы слушаете LastPass, если вы следовали их рекомендации по использованию 12-символьного мастер-пароля (который используется по умолчанию, но не применяется с 2018 года), «нет рекомендуемых действий, которые вам нужно предпринять в этот раз». время".
Я не согласен. Несмотря на то, что у меня действительно был надежный мастер-пароль, тот факт, что он (и слово LastPass) теперь единственное, что стоит между злоумышленниками и всеми моими онлайн-аккаунтами, меня нервирует. Лично я просмотрел все свое хранилище LastPass, вошел в каждую учетную запись, изменил пароль и сохранил новый пароль в другой службе управления паролями.
И, оказывается, не я один такой. Говорит один реддитор:
«Вместо того, чтобы праздновать Рождество с семьей, я сменю пароли на сотнях учетных записей, спасибо LastPass!»
Исследователь безопасности Владимир Палант называет замечание LastPass о нерекомендуемых действиях грубой небрежностью. Он предупреждает, что достаточно решительные злоумышленники смогут расшифровать данные почти любого.
Ясно одно: LastPass нас обманул
Пытался ли LastPass намеренно скрыть плохие новости, отправив объявление за день до самого большого праздника в году, и даже не предоставив нам информацию напрямую в электронном письме, а вместо этого указав нам на свой блог? Что именно произошло между августом и Рождеством? И какая точная дата утечки данных?
Отсутствие ясности бесит. Однако стало ясно, что LastPass солгал нам. Вот как они рекламируют свою модель безопасности с нулевым разглашением:
«Нулевое разглашение означает, что никто, кроме вас, не имеет доступа к вашему расшифрованному мастер-паролю, хранилищу или данным хранилища».
Как мы теперь знаем, это утверждение неверно: на самом деле URL-адреса для входа (которые являются данными хранилища) хранятся без шифрования и теперь находятся в руках хакеров.
Наблюдайте за этим пространством. Присоединяйтесь к коллективным искам (скорее всего, в ближайшее время). LastPass явно искажала свои услуги и раскрывала вашу конфиденциальную информацию злоумышленникам.
👉 Подпишитесь на меня на Medium, чтобы увидеть больше моего контента в своей ленте.
📫 Подпишитесь и получайте мою следующую публикацию прямо в свой почтовый ящик.
💪 Стань участником Medium и разблокировать неограниченный доступ.
Если вам понравилась эта история, вам также может понравиться мой подробный рассказ о другой корпоративной лжи, а именно о скандале с VW Diesel:
