В официальном блоге LastPass появилось уведомление, указывающее на то, что сервера компании были скомпрометированы. Подозрительные действия в сети компании были замечены в минувшую пятницу.
Команда LastPass утверждает, что зашифрованные данные пользователей в безопасности, однако расследование показало, что злоумышленники получили доступ к email, напоминанию пароля, соли и хешам аутентификации пользователей.
Мы уверены, что наших мер шифрования достаточно, чтобы защитить подавляющее большинство пользователей. LastPass усиляет хэш аутентификации случайном значением соли и 100000 итерациями PBKDF2-SHA256, в дополнении к итерациям, проведенным на стороне клиента. Эти меры защиты затруднят атаки украденных хэшей с любой скоростью.
Тем не менее, LastPass принимает дополнительные меры, чтобы гарантировать, что ваши данные останутся в безопасности. Для входа с нового устройства или IP адреса необходимо будет подтвердить свою учетную запись, если не включена двухфакторная аутентификация.
В качестве дополнительной предосторожности всем пользователям предлагается обновить свой мастер-пароль.
