Очередная утечка данных в LastPass

Lastpass

Большая часть моих товарищей и клиентов продолжают использовать блокнот для хранения своих паролей.  Оставшиеся надеются на свою память, используют везде одинаковый пароль или используют менеджер паролей. Лично я, отношусь тем, кто хранит пароли в защищённом месте.  О первом менеджере паролей я узнал в 2010 году, тогда был очень популярен сервис LastPass.  В 2018 году, после утечки клиентский данных я перестал использовать данный сервис и потерял его из виду.  В конце декабря до меня дошла новость о зарегистрированном инциденте, в результате которого были раскрыты зашифрованные хранилища паролей вместе с пользовательскими данными.

Подробности, которые рассказали специалисты по информационной безопасности были на столько тревожными, что мои коллеги сделали информационную рассылку по всем нашим клиентам с целью оповестить их о возникшей проблеме и предложить альтернативные решения.

Из различных источников сообщается, что утечка произошла после 22 августа, но LastPass не называет подробную дату инцидента. Сейчас уже не играет никакой роли, когда произошла утечка, ведь всем, кто пользовался LastPass нужно в срочном порядке менять свои пароли.  Даже если рассчитывать на то, что утечка произошла где-то в ноябре, то можно предположить, что у злоумышленников получилось расшифровать полученную копию базы данных.

Украденные данные клиентов включают в себя не только имена пользователей и пароли, но еще и номера телефонов, электронные почты и даже платежную информацию. В LassPass используется гибридное хранилище данных, то есть шифруется только часть информации – логины и пароли. Все остальное храниться в открытом виде.  При таком методе хранения возникает риск того, что злоумышленники могут определять приоритеты очередности взлома хранилищ.  Многие пользователи могут подумать, что если их хранилище было защищено мастер-паролем, то они избежали страшной участи.  К сожалению, это не так. Даже при смене мастер-пароля сейчас, украденные данные все равно могут быть расшифрованы из-за наличия старого мастер-пароля и зашифрованных паролей.

Что делать:

  1. Если вы привыкли работать с LassPass – то пройдитесь по каждому вашему сервису, смените пароли и включите двухфакторную авторизацию. Двухфакторная авторизация поможет вам избежать фатальной компрометации данных при массовых взломах, а также при заражении вашего устройства вирусом. Если вы хранили в LassPass данные банковских карт – то рекомендую перевыпустить карту в кратчайшие сроки.
  2. Я рекомендую сменить менеджер паролей выбрав, например Passwork или бесплатный аналог Bitwarden. Кроме облачных решений, я рекомендую воспользоваться утилитой KeePass. С помощью KeePass, данные можно хранить на съёмном носителе, зашифровав их при этом мастер-ключом c помощью метода SHA-256. С таким методом ваши данные будут под надежной защитой. И самое главное не забыть сменить старые пароли.

Для компаний я все же рекомендую использовать Passwork. Хочу отметить, что у данного сервиса нет бесплатных тарифов, но есть возможность приобретения локальную версию для последующей установки на сервера компании.  Основной минус Passwork – это отсутствие мобильного приложения, которое есть у большинства его конкурентов.   Но об использовании сервиса я расскажу в следующей статье.