Компания LastPass уведомила пользователей о том, что в результате августовской утечки данных хакеры получили доступ к именам, адресам и хранилищам данных пользователей.
Генеральный директор LastPass Карим Тубба опубликовал запись в блоге, информирующую пользователей о масштабах похищенного.
«На сегодняшний день мы определили, что после получения ключа доступа к облачному хранилищу и ключей расшифровки, угрожающий субъект скопировал информацию из резервной копии, которая содержала основную информацию об учётной записи клиентов и соответствующие метаданные, включая названия компаний, имена конечных пользователей, адреса выставления счетов, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к сервису LastPass», – говорится в сообщении.
Хакер также создал копию данных хранилища клиентов, которые, по утверждению компании, «хранятся в собственном двоичном формате». Некоторые данные хранилища, например, URL-адреса веб-сайтов, не зашифрованы. Другие данные, такие как имена пользователей и пароли, «защищены 256-битным шифрованием AES», которое, по утверждению компании, не может быть расшифровано.
«[Зашифрованные данные] могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из главного пароля каждого пользователя с помощью нашей архитектуры Zero Knowledge», – пишет Тубба. "Напоминаем, что мастер-пароль никак не известен LastPass, не хранится и не поддерживается сервисом».
Хотя компания утверждает, что расшифровка данных хакерами маловероятна, однако предупреждает пользователей о том, что они могут стать жертвами фишинговых или социально-инженерных атак.
LastPass уже попадал под огонь за сомнительные методы обеспечения безопасности в прошлом.
В декабре 2021 года пользователи сервиса сообщили о многочисленных попытках входа в систему с использованием правильных мастер-паролей из разных локаций. Компания заверила клиентов, что атаки были результатом утечки паролей в результате взлома третьих лиц.
В феврале 2021 года исследователь безопасности обнаружил семь трекеров в приложении LastPass для Android.
Ещё по теме:
- TikTok активизировал усилия по заключению сделки по обеспечению безопасности в США
- Tencent присоединилась к сообществу разработчиков микросхем с открытым исходным кодом RISC-V
- Северная Корея украла $1,2 млрд в криптовалюте начиная с 2017 года