Первую атаку на LastPass осуществили в августе 2022 года. Тогда неизвестные хакеры проникли внутрь корпоративной файловой системы, в частности в среду разработки, и украли несколько частей исходного кода сервиса, а также некоторую техническую информацию. Компания заверила, что данные пользователей не пострадали.
Ранее Менеджер паролей LastPass снова взломали: что с данными пользователей
Что теперь известно
Вторая кибератака на сервис хранения паролей, судя по всему, произошла в последние дни ноября и была успешнее. Хакерам удалось завладеть именами пользователей и паролями, платежными и IP-адресами, а также телефонными номерами, защищенными заметками и заполненными формами.
Несмотря на это, все данные клиентов компания хранила в зашифрованном виде. Для этого используется специальный криптографический ключ, без которого у хакеров практически нет шанса прочесть полученную информацию. Сам ключ создает клиент, а компания не знает и не сохраняет его.
Злоумышленник может попытаться использовать грубую силу, чтобы угадать ваш главный пароль и расшифровать данные хранилища. Благодаря методам хеширования и шифрования, которые мы используем для защиты наших клиентов, было бы чрезвычайно сложно попытаться подобрать мастер-пароль грубой силой для тех клиентов, которые придерживаются наших лучших практик по паролям,
– написали разработчики.
Они добавляют, что "понадобятся миллионы лет, чтобы угадать ваш главный пароль, используя общедоступную технологию взлома паролей".