Служба LastPass потребовала от некоторых пользователей выбирать более длинные мастер-пароли. Такое требование объяснили тем, что пароли должны соответствовать последним улучшениям безопасности. Эксперты считают, что удлинение мастер-паролей никак не поможет клиентам, особенно тем, кто пострадал от утечки данных в 2022 году.
В LastPass заявили, что пользователи должны обновить свой мастер-пароль, если его длина менее 12 символов. Гендиректор компании Карим Тубба заявил, что это изменение не предназначено для решения проблем с уже украденными хранилищами, а требуется для лучшей защиты онлайн-хранилищ пользователей и для того, чтобы они привели свои учётные записи и их привода в соответствие со стандартными настройками LastPass 2018 года.
Создатель Adblock Plus Владимир Палант говорит, что многие старые пользователи LastPass не получили более безопасные настройки шифрования, которые показывают новым пользователям по умолчанию. Так, число итераций мастер-паролей для многих старых пользователей изначально было от 1 до 500, тогда как для новых пользователей с 2013 года это значение составляло 5000, с 2018-го — 100 тысяч, а теперь — 600 тысяч.
Однако число итераций перестаёт иметь значение, когда у хакеров есть масштабные вычислительные ресурсы, которые позволяют координировать действия по взлому паролей в нескольких системах одновременно.
Это означает, что пользователи LastPass, чьи хранилища никогда не обновлялись до более высоких итераций и чьи основные пароли были слабыми, вероятно, были основной целью распределённых атак после кражи данных хранилища LastPass.
По словам Паланта, удлинение мастер-пароля не поможет пострадавшим от утечки пользователям. Эксперт порекомендовал им изменить все свои пароли.
Николас Уивер, исследователь из Калифорнийского университета, сказал, что LastPass совершил ошибку, не обновив принудительно количество итераций для существующих пользователей. «Теперь я очень рекомендую: “Выберите любой менеджер паролей, кроме LastPass”», — заявил он.
В августе 2022 года команда LastPass сообщила о взломе менеджера паролей. Хакеры с помощью скомпрометированной учётной записи смогли проникнуть внутрь закрытого периметра, скопировать исходные коды проектов и проприетарную техническую информацию.
В сентябре в LastPass раскрыли, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток.
Позднее выяснилось, что злоумышленники смогли взломать платформу во второй раз за четыре месяца.
В январе стало известно, что в ходе атаки хакеры получили доступ к данным пользователей LastPass. Выяснилось, что они проникли в сеть с помощью взломанного компьютера DevOps-инженера.
С начала мая у пользователей LastPass возникли проблемы со входом в систему после того, как им предложили сбросить настройки многофакторной аутентификации.
