Оказалось, что гигантский менеджер паролей LastPass был взломан еще в августе 2022 года. Руководство сервиса признало этот факт в конце декабря и посоветовало пользователям не волноваться – украденные файлы надежно зашифрованы. Впрочем, специалисты говорят, что не все так радужно.
Массив данных, полученных злоумышленниками, включает в себя учетные данные клиентов – пароли к сервисам, адреса электронной почты, номера телефонов и IP-точек, с которых клиенты получали доступ к сервису LastPass.
Злоумышленники также скопировали данные «хранилища клиентов» – файл, который LastPass использует, чтобы позволить пользователям записывать и хранить свои пароли. Представители сервиса просят не беспокоиться.
– Этот файл «хранится в собственном двоичном формате, который содержит незашифрованные данные, такие как URL-адреса веб-сайтов, а также полностью зашифрованные конфиденциальные поля, такие как имена пользователей и пароли веб-сайтов, защищенные заметки и заполненные данные», – отмечают в компании.
Это означает, что у злоумышленников есть пароли пользователей. Но, к счастью, эти пароли зашифрованы с помощью «256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
В компании заявляют, что злоумышленникам «потребуются миллионы лет, чтобы угадать ваш мастер-пароль с помощью общедоступной технологии перебирания комбинаций».
Впрочем, если у пользователя слабый мастер-пароль вроде «qwerty» или «12345», то этим данным грозит опасность. Таким клиентам сервис советует сменить комбинации ко всем своим учетным записям.
