Опасения пользователей подтвердились, а LastPass попытался утешить клиентов.
https://www.securitylab.ru/upload/ib...4ns6sfer9h.jpg
Менеджер паролей LastPass предупредил клиентов , что в результате кибератаки на его системы в августе злоумышленники скопировали зашифрованные файлы, содержащие пароли.
«Некоторый исходный код и техническая информация были украдены из нашей среды разработки и использованы для атаки на одного из сотрудников, получения учетных данных и ключей, которые использовались для доступа и расшифровки некоторых томов хранилища в облачной службе хранения», - заявил сервис.
Хакеры получили доступ к следующей информации:
<ul><li>основная информация об учетной записи клиента;</li>
</ul><ul><li>названия компаний;</li>
</ul><ul><li>имена конечных пользователей;</li>
</ul><ul><li>платежные адреса;</li>
</ul><ul><li>адреса электронной почты;</li>
</ul><ul><li>номера телефонов;</li>
</ul><ul><li>IP-адреса пользователей.</li>
</ul>По словам компании, злоумышленник также скопировал данные «хранилища клиентов» — файл, который LastPass использует, чтобы клиенты могли записывать свои пароли. Это хранилище содержит:<ul><li>URL-адреса сохранённых сайтов;</li>
</ul><ul><li>полностью зашифрованные логины и пароли сайтов;</li>
</ul><ul><li>защищенные заметки;</li>
</ul><ul><li>данные автозаполнения.</li>
</ul>Это означает, что у злоумышленников есть пароли пользователей. Но они зашифрованы с помощью «256-битного AES-шифрования и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя».
Несмотря на то, что у злоумышленников есть пароли пользователей, они не смогут подобрать мастер-пароль с помощью брутфорса, так как необходимое для этого время даже невозможно посчитать. Помимо прочих рекомендаций, LastPass посоветовал не использовать мастер-пароль на других сайтах или сервисах.