Популярний менеджер паролів LastPass підтвердив, що кіберзлочинці викрали зашифровані сховища паролів його користувачів у результаті витоку даних наприкінці минулого року, повідомляє TechCrunch.

В оновленому блозі, присвяченому розкриттю цієї інформації, генеральний директор LastPass Карім Тубба повідомив, що зловмисники скопіювали хмарну резервну копію даних сховища клієнтів, використовуючи ключі, викрадені у співробітника LastPass.

Кеш сховищ паролів клієнтів зберігається у «власному двійковому форматі», який містить як незашифровані, так і зашифровані дані, але технічні та безпекові деталі цього власного формату не були вказані. Незашифровані дані включають вебадреси, що зберігаються у сховищі, але LastPass не говорить більше. Також не зрозуміло, наскільки свіжими є викрадені резервні копії.

У LastPass заявили, що сховища паролів клієнтів зашифровані й можуть бути розблоковані тільки за допомогою головного пароля користувача, який відомий тільки йому. Але компанія попередила, що кіберзлочинці, які стоять за зломом, «можуть спробувати використовувати грубу силу, щоб вгадати ваш головний пароль і розшифрувати копії даних сховища, які вони викрали».

Тубба повідомив, що кіберзлочинці також викрали величезні масиви даних клієнтів, включаючи імена, адреси електронної пошти, номери телефонів та деяку платіжну інформацію.

Менеджери паролів в переважній більшості випадків добре використовувати для зберігання паролів, які повинні бути довгими, складними та унікальними для кожного сайту або послуги. Але подібні інциденти нагадують про те, що не всі менеджери паролів створені однаково і можуть бути атаковані або скомпрометовані різними способами.

Найкраще, що зараз можуть зробити користувачі LastPass, – це змінити свій поточний головний пароль на новий унікальний, який буде записаний і зберігатиметься в безпечному місці.

Якщо ви вважаєте, що ваше сховище паролів LastPass може бути скомпрометоване – наприклад, якщо ваш головний пароль слабкий або ви використовували його деінде – вам слід почати змінювати паролі, що зберігаються у вашому сховищі LastPass.

Хороша новина полягає в тому, що будь-який обліковий запис, захищений двофакторною автентифікацією, значно ускладнить зловмисникам доступ до облікових записів користувачів LastPass, навіть якщо вдалося підібрати їхній головний пароль. Ось чому двофакторна автентифікація справді є дуже важливою.