Разделы

Безопасность Пользователю Интернет Веб-сервисы Техника

Взломан суперпопулярный менеджер паролей. Данные миллионов пользователей под угрозой

Сервис LastPass взломан во второй раз за последние три месяца. Им пользуются более 30 млн человек по всему миру. Разработчики не подтверждают компрометацию их паролей, но и не заявляют о безопасности этой информации. В этой ситуации пользователям следует сменить их и, вероятно, подыскать более безопасный сервис их хранения.

Менеджер паролей как решето

Менеджер паролей LastPass подвергся хакерской атаке, оказавшейся очень успешной для самих взломщиков. Как пишет TechCrunch, им удалось добраться до пользовательских данных, но пока неизвестно, до каких именно. Вполне вероятно, что теперь у них есть доступ к паролям, которые пользователи сервиса хранят в своих профилях.

Информацию о взломе LastPass и компрометации пользовательских данных подтвердили и представители само сервиса. Однако они тщательно скрывают как масштабы утечки, так и характер информации, оказавшейся в руках злоумышленников, так что пока в зоне риска находятся все без исключения пользователи LastPass, а это миллионы людей по всему миру. По данным портала EarthWeb, на октябрь 2022 г. база пользователей LastPass насчитывала 33 млн человек.

Это второй масштабный взлом LastPass в 2022 г., о котором стало известно широкой общественности. Первый произошел совсем недавно – в конце лета 2022 г. Тогда хакерам удалось украсть техническую информацию сервиса и часть его исходного кода через скомпрометированную учетную запись одного из разработчиков проекта.

las600.jpg
LastPass взломан второй раз за полгода. 33 миллионам пользователей пришла пора задуматься о его надежности

Как пишет портал Neowin, нынешняя атака напрямую связана с предыдущей. Хакеры могли использовать полученные тогда сведения для нового взлома.

Также нельзя исключать, что сервис мог подвергаться взлому и раньше в течение 2022 г., просто не афишировал это. Что немаловажно, на сайте проекта говорится, что это менеджер паролей номер один во всем мире (#1 Password Manager).

Что делать пользователям

К моменту выхода материала представители LastPass не подтверждали, но и не отрицали утечку именно паролей пользователей, размещенных в их личных онлайн-хранилищах. Однако риск именно такого исхода хакерской атаки есть. К тому же, с учетом того факта, что LastPass за 14 лет своего существования уже не раз допускал утечки паролей, риск в данном случае велик.

Пользователям LastPass не следует дожидаться официальных комментариев представителей сервиса. Первое, что нужно сделать – посмотреть, какие именно пароли хранятся в облаке и максимально быстро поменять их, пока злоумышленники не добрались конкретно до них. Многие, к примеру, хранят в таких менеджерах пароли от интернет-банка или корпоративной электронн6ой почте.

Второй шаг – это поиск если не замены LastPass, то как минимум запасного менеджера паролей из числа тех, что работают в режиме офлайн. Такие программы хранят базу паролей непосредственно на устройстве пользователя (часто в зашифрованном виде), что в значительно степени снижает риск утечки ее содержимого.

Облакам доверия нет

LastPass работает с 2008 г. За эти 14 лет сервис отрапортовал как минимум о девяти случаях нарушения безопасности, включая два за 2022 г.

Владимир Арлазаров, Smart Engines: С персональными данными надо обращаться, как с государственной тайной
ПО

Например, в 2011 г. администраторы обнаружили многочисленные аномалии во входящем и исходящем трафике, причина которой так и не была установлена. Доказательств того, что это была именно хакерская атака, у LastPass нет, но сервис тогда разослал всем пользователям уведомление о необходимости смены пароля на доступ к хранилищу.

В 2015 г. LastPass допустил компрометацию адресов электронной почты пользователей хэшей аутентификации и некоторых других данных, не предназначенных для посторонних глаз. По словам представителей сервиса, содержимое пользовательских хранилищ не пострадало.

В 2016, 2017 и 2019 гг. в официальном расширении LastPass для популярных браузеров были обнаружены многочисленные уязвимости. Эксплуатация каждой из них приводила к утечке паролей пользователей.

В 2021 г. эксперты в области кибербезопасности выявили в фирменном приложении LastPass для Android сторонние трекеры. Разработчики так и не смогли внятно объяснить, как они там оказались, и как долго они находились в составе приложения.

Как в VK создали корпоративный суперапп для 10 тысяч сотрудников
Цифровизация

В конце 2021 г. CNews писал об утечке мастер-паролей пользователей LastPass.

Однако не следует думать, что один лишь LastPass является далеко не самым безопасным веб-сервисом хранения паролей. На деле, его прямые конкуренты тоже страдают от уязвимостей, связанных с «дырами» в программном коде или с обыкновенной халатностью разработчиков. Например, в 2015 г. выяснилось, то менеджер 1Password хранил все пользовательские данные в незашифрованном виде.

Евгений Черкесов