Популярний менеджер паролів LastPass став жертвою хакерської атаки. Користувачам рекомендується негайно змінити всі свої паролі.
Представники компанії LastPass поки що ні виявили ніяких підтверджень, що хакери забрали персональні дані про користувачів. Проте, сервера компанії були скомпрометовані.
За попередніми даними, хакерам вдалося отримати доступ до email-адрес користувачів, зашифрованим майстер-паролів і секретних словами і фразами, які сервіс запитує при відновленні цих самих паролів.
Інженери LastPass запевняють, що дані користувачів в безпеці, оскільки використовується ними шифрування повинно вистачити для забезпечення недоступності даних, навіть не дивлячись на те, що хакери зуміли дістати доступ до хеш майстер-паролів.
LastPass посилила хеші аутентифікації 100 тис. Ітераціями PBKDF2-SHA256 на стороні сервера, на додаток до итерациям на стороні клієнта.
Компанія принесла свої вибачення користувачам і прийняла більш класичні, для подібної ситуації, заходи. Всім користувачам були направлені листи з рекомендаціями змінити майстер-пароль - особливо тим, хто використовує той же самий пароль на інших сайтах.
Крім того, якщо користувач здійснює вхід з нового пристрою або IP, йому доведеться підтвердити дані облікового запису - за умови, що двухфакторная аутентифікація не була включена. Міняти паролі, які зберігалися всередині сервісу не потрібна.
Нагадаємо, нещодавно в стандартному поштовому додатку Mail в операційній системі iOS 8.3 була виявлена серйозна уразливість . Вона дозволяє необмежено «збирати» з користувачів паролі до їх облікових записів.