Взломан LastPass. Данные миллионов пользователей под угрозой
Информацию о взломе LastPass и компрометации пользовательских данных подтвердили и представители само сервиса. Однако они тщательно скрывают как масштабы утечки, так и характер информации, оказавшейся в руках злоумышленников, так что пока в зоне риска находятся все без исключения пользователи LastPass, а это миллионы людей по всему миру. По данным портала EarthWeb, на октябрь 2022 г. база пользователей LastPass насчитывала 33 млн человек.
Это второй масштабный взлом LastPass в 2022 г., о котором стало известно широкой общественности. Первый произошел совсем недавно – в конце лета 2022 г. Тогда хакерам удалось украсть техническую информацию сервиса и часть его исходного кода через скомпрометированную учетную запись одного из разработчиков проекта.
Как пишет портал Neowin, нынешняя атака напрямую связана с предыдущей. Хакеры могли использовать полученные тогда сведения для нового взлома.
Также нельзя исключать, что сервис мог подвергаться взлому и раньше в течение 2022 г., просто не афишировал это. Что немаловажно, на сайте проекта говорится, что это менеджер паролей номер один во всем мире (#1 Password Manager).
К моменту выхода материала представители LastPass не подтверждали, но и не отрицали утечку именно паролей пользователей, размещенных в их личных онлайн-хранилищах. Однако риск именно такого исхода хакерской атаки есть. К тому же, с учетом того факта, что LastPass за 14 лет своего существования уже не раз допускал утечки паролей, риск в данном случае велик.
Пользователям LastPass не следует дожидаться официальных комментариев представителей сервиса. Первое, что нужно сделать – посмотреть, какие именно пароли хранятся в облаке и максимально быстро поменять их, пока злоумышленники не добрались конкретно до них. Многие, к примеру, хранят в таких менеджерах пароли от интернет-банка или корпоративной электронн6ой почте.
Второй шаг – это поиск если не замены LastPass, то как минимум запасного менеджера паролей из числа тех, что работают в режиме офлайн. Такие программы хранят базу паролей непосредственно на устройстве пользователя (часто в зашифрованном виде), что в значительно степени снижает риск утечки ее содержимого.
LastPass работает с 2008 г. За эти 14 лет сервис отрапортовал как минимум о девяти случаях нарушения безопасности, включая два за 2022 г.
Например, в 2011 г. администраторы обнаружили многочисленные аномалии во входящем и исходящем трафике, причина которой так и не была установлена. Доказательств того, что это была именно хакерская атака, у LastPass нет, но сервис тогда разослал всем пользователям уведомление о необходимости смены пароля на доступ к хранилищу.
В 2015 г. LastPass допустил компрометацию адресов электронной почты пользователей хэшей аутентификации и некоторых других данных, не предназначенных для посторонних глаз. По словам представителей сервиса, содержимое пользовательских хранилищ не пострадало.
В 2016, 2017 и 2019 гг. в официальном расширении LastPass для популярных браузеров были обнаружены многочисленные уязвимости. Эксплуатация каждой из них приводила к утечке паролей пользователей.
В 2021 г. эксперты в области кибербезопасности выявили в фирменном приложении LastPass для Android сторонние трекеры. Разработчики так и не смогли внятно объяснить, как они там оказались, и как долго они находились в составе приложения.
Однако не следует думать, что один лишь LastPass является далеко не самым безопасным веб-сервисом хранения паролей. На деле, его прямые конкуренты тоже страдают от уязвимостей, связанных с «дырами» в программном коде или с обыкновенной халатностью разработчиков. Например, в 2015 г. выяснилось, то менеджер 1Password хранил все пользовательские данные в незашифрованном виде.