Администрация популярного сервиса LastPass сообщила о проникновении в свою сеть. Сервис позволяет использовать на разных сайтах в Интернете разные автоматически генерируемые сложные пароли, запоминая при этом только один “главный пароль”.
В размещенной в официальном блоге сервиса публикации признается, что хакерам достались адреса электронной почты пользователей, подсказки о паролях, и даже сами “главные пароли”. Последние, правда, хранятся LastPass в зашифрованном виде.
Гендиректор LastPass Джо Сигрист сообщил, что в компании обнаружили взлом, заметив подозрительную активность в своей сети еще в пятницу на прошлой неделе. LastPass утверждает, что пользователи в безопасности - ни пароли к отдельным сайтам, ни “главные пароли” в расшифрованном виде злоумышленники получить не смогли.
В то же время, причины для беспокойства есть - ведь зачастую люди при регистрации не утруждают себя созданием сложного пароля, так что для доступа к аккаунту может оказаться достаточно лишь адреса электронной почты и подсказки. Кроме того, почтовые адреса могут использоваться для фишинговых атак - когда злоумышленники рассылают письма якобы от лица администрации того или иного ресурса, пытаясь выяснить дополнительные сведения.
В LastPass говорят, что сбросят “главные пароли” пострадавших пользователей, а также советуют включить многофакторную авторизацию - она позволит войти в аккаунт с нового устройства, лишь введя полученный по SMS код.
Отношение к менеджерам паролей, таким как LastPass, у экспертов в области компьютерной безопасности всегда было неоднозначным. С одной стороны, они позволяют с удобством использовать уникальные пароли для каждого интернет-сайта, мессенджера, соцсети и т.п., не запоминая их, повышая тем самым защищенность пользователя. С другой стороны, взлом базы данных такого сервиса как LastPass теоретически может дать хакерам доступ ко всем аккаунтам пользователя сразу.
Источник: The New York Times
