Популярный менеджер паролей LastPass стал жертвой хакерской атаки. Пользователям рекомендуется немедленно сменить все свои пароли.
Представители компании LastPass пока что не обнаружили никаких подтверждений, что хакеры забрали персональные данные о пользователях. Тем не менее, сервера компании были скомпрометированы.
По предварительным данным, хакерам удалось получить доступ к email-адресам пользователей, зашифрованным мастер-паролям и секретным словам и фразам, которые сервис запрашивает при восстановлении этих самых паролей.
Инженеры LastPass уверяют, что данные пользователей в безопасности, поскольку используемого ими шифрования должно хватить для обеспечения недоступности данных, даже не смотря на то, что хакеры сумели заполучить доступ к хэшам мастер-паролей.
LastPass усилила хэши аутентификации 100 тыс. итерациями PBKDF2-SHA256 на стороне сервера, в дополнение к итерациям на стороне клиента.
Компания принесла свои извинения пользователям и приняла более классические, для подобной ситуации, меры. Всем пользователям были направлены письма с рекомендациями сменить мастер-пароль – особенно тем, кто использует тот же самый пароль на других сайтах.
Кроме того, если пользователь осуществляет вход с нового устройства или IP, ему придётся подтвердить данные учётной записи – при условии, что двухфакторная аутентификация не была включена. Менять пароли, которые хранились внутри сервиса не требуется.
Напомним, недавно в стандартном почтовом приложении Mail в операционной системе iOS 8.3 была обнаружена серьёзная уязвимость. Она позволяет неограниченно «собирать» с пользователей пароли к их учётным записям.