Данные миллионов пользователей под угрозой
Сервис LastPass взломан во второй раз за последние три месяца. Им пользуются более 30 млн человек по всему миру. Разработчики не подтверждают компрометацию их паролей, но и не заявляют о безопасности этой информации. В этой ситуации пользователям следует сменить их и, вероятно, подыскать более безопасный сервис их хранения.
Менеджер паролей как решето
Менеджер паролей LastPass подвергся хакерской атаке, оказавшейся очень успешной для самих взломщиков. Им удалось добраться до пользовательских данных, но пока неизвестно, до каких именно. Вполне вероятно, что теперь у них есть доступ к паролям, которые пользователи сервиса хранят в своих профилях.
Информацию о взломе LastPass и компрометации пользовательских данных подтвердили и представители само сервиса. Однако они тщательно скрывают как масштабы утечки, так и характер информации, оказавшейся в руках злоумышленников, так что пока в зоне риска находятся все без исключения пользователи LastPass, а это миллионы людей по всему миру. По данным портала EarthWeb, на октябрь 2022 г. база пользователей LastPass насчитывала 33 млн человек.
Это второй масштабный взлом LastPass в 2022 г., о котором стало известно широкой общественности. Первый произошел совсем недавно – в конце лета 2022 г. Тогда хакерам удалось украсть техническую информацию сервиса и часть его исходного кода через скомпрометированную учетную запись одного из разработчиков проекта.
Как пишет портал Neowin, нынешняя атака напрямую связана с предыдущей. Хакеры могли использовать полученные тогда сведения для нового взлома.
Также нельзя исключать, что сервис мог подвергаться взлому и раньше в течение 2022 г., просто не афишировал это. Что немаловажно, на сайте проекта говорится, что это менеджер паролей номер один во всем мире.
Что делать пользователям
Пользователям LastPass не следует дожидаться официальных комментариев представителей сервиса. Первое, что нужно сделать – посмотреть, какие именно пароли хранятся в облаке и максимально быстро поменять их, пока злоумышленники не добрались конкретно до них. Многие, к примеру, хранят в таких менеджерах пароли от интернет-банка или корпоративной электронной почте.
Второй шаг – это поиск если не замены LastPass, то как минимум запасного менеджера паролей из числа тех, что работают в режиме офлайн. Такие программы хранят базу паролей непосредственно на устройстве пользователя (часто в зашифрованном виде), что в значительно степени снижает риск утечки ее содержимого.