Официальный блог популярного менеджера паролей LastPass сообщает, что компания стала жертвой атаки. В пятницу LastPass обнаружила подозрительную активность в своей сети, и проведенное за выходные расследование показало, что компания подверглась атаке. Хотя нет никаких улик, указывающих на то, что хакеры забрали какие-либо данные о пользователях LastPass, сервера компании все-таки были скомпрометированы. Хакерам удалось получить доступ к email-адресам пользователей, зашифрованным мастер-паролям, а также секретным словам и фразам, которые сервис запрашивает при восстановлении этих самых паролей.

Компания LastPass старается держать лицо в неприятной ситуации и заявляет, что данные пользователей в безопасности, так как шифрования должно хватить, невзирая на то, что хакеры сумели заполучить доступ к соли и хешам мастер-паролей.  «Мы убеждены, что нашего шифрования достаточно, чтобы защитить большинство пользователей. LastPass усилила хэши аутентификации случайным значением соли и 100 000 итерациями PBKDF2-SHA256 на стороне сервера, в дополнении к итерациям на стороне клиента. Эти меры значительно затруднят атаку на украденные хеши», — сообщается в блоге.

Помимо вышеперечисленного LastPass извинилась и приняла также более классические, для подобной ситуации, меры. Всем пользователям предлагается сменить мастер-пароль, особенно тем, кто использует тот же самый пароль на других сайтах. Если вход осуществляется с нового устройства или IP, придется подтвердить данные учетной записи (если не включена двухфакторная аутентификация). Менять пароли, которые хранились внутри сервиса, по словами представителей LastPass, не требуется.

Фото: GottaBeMobile 



11 комментарий

  1. 16.06.2015 at 10:12

    украшенные хеши

  2. 16.06.2015 at 13:55

    Жидовские пидорасы!

  3. 16.06.2015 at 18:59

    менеджер паролей? вы издеваетесь?

  4. 16.06.2015 at 20:09

    ути -пути! а нефик заоблачной дряни доверять! сами виноваты.

  5. https://www.fsf.org

    17.06.2015 at 00:21

    Храните пароли в надёжном месте не в электронном виде. Тогда их хотя бы нельзя украсть удалённо. Нельзя доверять облачным сервисам важную информацию. Вообще нельзя доверять несвободному ПО и программам как сервисам (SaaS)

    • 17.06.2015 at 19:52

      Правильно! А когда регестрируетесь на различных сервисах для связи со знакомыми, поиска знакомств, облачных дисков, git серверах, почтах, онлайн банкинге, wiki проектах, мессенджерах, магазнах, тематических форумах, хостингах. Когда у вас записей переваливает за 500-1000. Вы просто ОБЯЗАНЫ помнить все 30-ти значные пароли с 10-ти значными именами к ним! А ещё адреса всех почтовых ящиков привязанных к этим аккаунтам для восстановления паролей, служебных сообщений, технических работ.

    • 17.06.2015 at 19:53

      Достаточно KeePass базы паролей и open source программы для работы с ней (KeePassX например). А саму базу хранить в облаке и перебрасывать между устройствами вручную.

  6. 17.06.2015 at 10:43

    Блин, какой тогда смысл во всех этих шифрованиях, если нужно волноваться об утечках шифрованных данных.

Оставить мнение