Популярный (теперь уже наверно в прошлом) менеджер паролей LastPass сообщает, что хакеры получили огромное количество персональной информации пользователей. Это относится и к зашифрованным и криптографически хешированным паролям и прочим данным из хранилищ.

Речь идёт о всё том же взломе, о котором сообщалось в августе. Тогда говорилось, что хакер получил несанкционированный доступ через одну скомпрометированную учётную запись разработчика к частям среды разработки менеджера паролей. Якобы он похитил только часть исходного кода и некоторую проприетарную техническую информацию LastPass. Разработчики утверждали, что мастер-пароли, зашифрованные пароли, персональная информация и другие данные в аккаунтах пользователей не затронуты.

В четверг компания заявила, что хакеры получили доступ к персональной информации и связанной с ней метаданным, включая названия компаний, имена конечных пользователей, платёжные адреса, адреса электронной почты, номера телефонов и IP-адреса, с которых пользователи входили в LastPass. Хакеры скопировали данные хранилищ клиентов, куда входят незашифрованные данные вроде URL-адресов сайтов, и зашифрованные поля данных, такие как логины и пароли от аккаунтов на сайтах, защищённые заметки и данные в формах.

«Эти поля защищены 256-битным алгоритмом шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования из мастер-пароля пользователя с использованием нашей архитектуры с нулевым разглашением», — пишет генеральный директор LastPass Карим Тубба. Zero Knowledge относится к системам хранения, которые поставщик услуг не может расшифровать.

«Напоминаем, что мастер-пароль пользователей не известен LastPass, не хранится и не поддерживается LastPass. Шифрование и дешифрование данных выполняется только в локальном клиенте LastPass».

У компании нет данных, что был получен доступ к незашифрованным данным кредитных карт. LastPass не хранит данные кредитных карт целиком, а хранящиеся сведения находятся в облачной среде хранения, отличной от той, которую взломал хакер.

Взлом в августе мог быть связан со взломом поставщика услуг двухфакторной аутентификации Twilio. Злоумышленник украл данные 163 клиентов Twilio. Эти же люди взломали минимум 136 других компаний, включая LastPass.

Хотя взлом хэшей паролей потребует огромного количества вычислительных ресурсов, это не невозможно. К тому же, как сказано выше, адреса сайтов в хранилищах зашифрованы не были и вряд ли пользователей обрадует, что злоумышленники знают, на какие сайты они ходят.

Пользователям LastPass следует поменять мастер-пароль на доступ у хранилищу и все пароли хранящихся в хранилище аккаунтов сайтов (которых могут быть сотни). Им также следует применять настройки, превышающие значения по умолчанию LastPass. Эти настройки хешируют сохраненные пароли, используя 100100 итераций функции получения ключа на основе пароля (PBKDF2), схемы хеширования, которая делает невозможным взлом длинных, уникальных и случайно сгенерированных мастер-паролей. Это меньше 310000 итераций, который OWASP рекомендует для PBKDF2 в сочетании с алгоритмом хеширования SHA256, как в LastPass. Клиенты LastPass могут проверить установленное количество итераций PBKDF2 для своих аккаунтов здесь.

Клиенты LastPass также опасаться фишинговых электронных писем и телефонных звонков якобы от LastPass или других служб, с запросом конфиденциальных данных, и других мошеннических действий с применением скомпрометированных персональных данных, пишет Arstechnica.