Pull to refresh

Возможно, был взломан LastPass

Information Security
Translation
Original author: Brennon Slattery, PCWorld
image

В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.

LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.

В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»

Известно, что объём похищенных данных был достаточно велик, и вполне может содержать и e-mail адреса клиентов, и хэшированные пароли. Вместе с тем сообщается, что этот объём был не настолько большим, чтобы повредить всем пользователям, пострадала лишь часть.

Команда LastPass настоятельно рекомендует сменить мастер-пароль. Кроме этого, они будут проводить верификацию путем проверки IP, или с помощью проверки подлинности почтового ящика.

Хотя масштабы потерь ещё неизвестны, для LastPass (названной одной из лучших программ 2009 по версии PCWorld) эта ситуация может стать возможностью проверить в деле свой новый механизм защиты: PBKDF2 (Password-Based Key Derivation Function), использующий SHA-256 на сервере с 256-битным шифрованием (100 000 циклов).

На фоне последних событий, связанных с кражей личных данных (самый видный пример — это Sony и примерно 77 миллионов пострадавших пользователей PlayStation Network), это даже хорошо, что LastPass подходит к делу с такой «параноидальностью».

UPD, спасибо alesot

Сейчас сервис испытывает чрезвычайные нагрузки, поэтому мы намеренно подключаем Вас в оффлайн режиме.

Update 2, 2:15pm EST:

Рекордный уровень трафика плюс огромное количество людей, пытающихся сменить свой пароль, превысили нашу скорость обработки запросов.

Мы меняем тактику — если Вы уже успели сменить пароль, Ваш запрос будет обработан в обычном режиме.

Если Вы еще не сменили пароль, Ваш запрос будет обработан в оффлайновом режиме, таким образом, Вы все еще можете использовать LastPass как обычно. Пострадает только синхронизация паролей + Вы будете видеть предупреждающую панель.

Как только нагрузка уменьшится, мы увеличим посылаемый в обработку процент заявок на изменение пароля/проверку e-mail.

Для тех, у кого возникли какие-либо проблемы — напишите нам на support@lastpass.com
Мы видели несколько сообщений о неудачных изменениях паролей, мы думаем, что это происходит из-за загрузки старой версии.

Нажмите на иконку LastPass-> Clear Local Cache и попробуйте ещё раз, должно сработать.
Tags:lastpasspasswordпаролиинформационная безопасностьвзломhack
Hubs: Information Security
Total votes 86: ↑75 and ↓11 +64
Views13.2K

Comments 106

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now