Очередной взлом LastPass: все хуже, чем казалось dl // 26.12.22 17:26
В конце лета LastPass сообщила об очередном взломе своей сети (что случается раз в несколько лет), привычно уточнив, что пользовательские данные не пострадали, затронуты были только разработчики, волноваться не о чем, расходимся. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2022/12/02.html] В сентябре по итогам расследования инцидента эти выводы были подтверждены.
Но в конце ноября прозвенел неприятный звоночек — пользователям сообщили, что, знаете, ваши пароли, конечно, в целости и сохранности, но тут какая-то необычная активность творится у нашего облачного провайдера, так что вроде какие-то элементы пользовательской информации могли утечь.
И наконец в декабре шарахнуло по полной. Пользователям сообщили, что в результате августовского инцидента злоумышленники смогли атаковать сотрудника, располагающего ключами к облачному хранилищу, после чего утащили бэкапы пользовательских баз. А там лежала как обычная информация об аккаунтах (имена, адреса и т.п.), так и зашифрованные хранилища паролей.
Пока пользователей слегка утешают тем, что пароли все-таки были зашифрованы 256-битным AES, и уже лет пять как от мастер-паролей требуется длина в 12 символов, так что для взлома потребуются сотни миллионов лет и волноваться в общем-то не о чем, но на всякий случай срочно поменяйте все свои пароли.
Вот как раз из-за таких приключений я никогда не доверял облачным менеджерам паролей, до последнего держась за 1Password без облачной подписки, а в итоге и с него ушел на self hosted Bitwarden.
