После утечки данных, произошедшей несколько месяцев назад, менеджер паролей LastPass сообщил, что хакер мог получить доступ к конфиденциальной информации о клиентах. Поэтому следует принять некоторые меры предосторожности для людей, которые будут хранить «стартовые фразы» криптовалютных кошельков через этот сервис.
Менеджер паролей LastPass взломан
В четверг команды менеджера паролей LastPass сообщили, что хакер получил доступ к конфиденциальным данным, скомпрометированным в результате утечки 25 августа:
«На основании проведенного нами расследования мы узнали, что неизвестный злоумышленник получил доступ к облачной среде хранения данных, используя информацию, полученную в результате инцидента, который мы ранее раскрыли в августе 2022 г. «
Менеджер паролей позволяет, как следует из названия, хранить все свои пароли и легко генерировать новые, очень надежные. База данных LastPass, которая подверглась взлому, содержит личную информацию клиентов, хранящуюся в их сейфе. Поскольку в сейфе могут храниться любые данные, например, документы, удостоверяющие личность, или приватные ключи от криптовалютных кошельков, эти данные теперь подвержены утечке.
Поскольку сейфы защищены паролями, которые не хранятся в LastPass, компания утверждает, что данные, которые они содержат, остаются в безопасности до тех пор, пока пароль не будет найден.
Однако один из инвесторов считает, что LastPass не раскрывает всей полноты ситуации, поскольку четыре его вторичных кошелька, начальные фразы которых он хранил в приложении, были опустошены:
Я думаю, что ситуация в @LastPass может быть хуже, чем они говорят.
В воскресенье, 18-го числа, четыре моих кошелька были взломаны. Потери незначительны.
Их семена хранились в зашифрованном виде в моем хранилище lastpass за 16-символьным паролем с использованием всех типов символов.
— path.eth 🛡️ (@Cryptopathic) December 23, 2022
Хотя пострадавший уверяет, что потери невелики, он настаивает на том, что пароль к его сейфу не использовался больше нигде, и что его сложность исключает возможность взлома «атакой грубой силы».
Что делать, если вы используете LastPass
Учитывая конфиденциальные данные, которые могут быть скрыты за всеми этими паролями, не стоит доверять только публичному сообщению LastPass.
Если вы храните начальные фразы из криптокошельков на этом сервисе, было бы разумно перевести все эти средства на другой адрес приватного ключа в качестве меры предосторожности.
Смена главного пароля для доступа к хранилищу не поможет, так как текущий пароль останется тем же самым на украденной базе данных, и хакер(ы) все равно сможет получить доступ к хранящейся на ней информации.
Поэтому было бы разумно сменить менеджер паролей, но прежде всего сбросить все пароли всех учетных записей, которые считаются «чувствительными». Для двухфакторной аутентификации (2FA), размещенной в приложении, их также следует сбросить для использования другой службы.
Хотя эта утечка данных гораздо серьезнее, чем утверждает LastPass, следует также учитывать, что любые кредитные карты или документы, удостоверяющие личность, которые хранились в этих сейфах, также могут оказаться под угрозой.
