Сервис LastPass подвергся атаке и был взломан. Украдены почтовые адреса, получен доступ к напоминаниям пароля

отметили
43
человека
в архиве
Сервис LastPass подвергся атаке и был взломан. Украдены почтовые адреса, получен доступ к напоминаниям пароля
Сегодня на электронную почту пришло:

Dear LastPass User,

We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

Regards,
The LastPass Team
Добавил X86 X86 16 Июня 2015
проблема (1)
Комментарии участников:
Stopor
+4
Stopor, 16 Июня 2015 , url
Нигде небезопасно. Как чувствовал, что это произойдет: отказался от пользования подобными онлайн-сервисами еще два года назад.
AKMS
+2
AKMS, 16 Июня 2015 , url
Мне тоже пришло. Удобная программа. Пришлось менять пароль.
X86
+1
X86, 16 Июня 2015 , url
Вроде пока советуют ничего не трогать — сервис может быть все еще под контролем злоумышленников.
У меня в напоминании о пароле стоит «пароль как пароль» )))
AKMS
0
AKMS, 16 Июня 2015 , url
перевод

Уважаемые Пользователя Lastpass,

Мы хотели предупредить вас, что, совсем недавно, наша команда обнаружила и незамедлительно блокировали подозрительную активность в нашей сети. Не зашифрованные пользовательские хранилища данных было принято, однако других данных, включая адреса электронной почты и пароля, напоминания, был скомпрометирован.

Мы уверены, что алгоритмы шифрования, которые мы используем, будет в достаточной мере защитить пользователей. В целях дальнейшего обеспечения вашей безопасности, мы требуем, чтобы проверка по email при входе с нового устройства или IP-адрес, и будет предлагающее пользователям обновлять свои мастер-пароли.

Приносим свои извинения за неудобства, но в конечном счете мы считаем, что это позволит лучше защитить пользователей lastpass. Спасибо за понимание, и за использование lastpass.
RussiaRulit
+1
RussiaRulit, 16 Июня 2015 , url
включая адреса электронной почты и пароля, напоминания, был скомпрометирован.
Не совсем точный перевод, пропущена важная вещь-были засвечены не пароли и напоминания, а напоминатели паролей, так что всё нормально…
X86
0
X86, 16 Июня 2015 , url
Я сам долго думал как же перевести эти «reminders» и только после опубликования новости вспомнил хорошее слово из винды — «подсказка пароля» )))
RussiaRulit
0
RussiaRulit, 16 Июня 2015 , url
Думаю, пока нет повода для паники, бо вот перевод на Comss.ru
В процессе внутреннего расследованияпрямых доказательств потери зашифрованных пользовательских данных не было обнаружено. Кроме того, признаков доступа к аккаунтам пользователей LastPass Password Manager также не зарегистрировано. Тем не менее, расследование показало, что электронные адреса, напоминания паролей, персональные криптографические модификаторы и хеши аутентификации были взломаны.

Представители компании уверены, что шифрования данных достаточно для защиты большинства пользователей. LastPass улучшает безопасность хэша аутентификации с помощью случайных значений и 100 000 итераций PBKDF2-SHA256, выполняемых на серверной стороне в дополнение к итерациям, исполняемым на клиентской части. Дополнительное усиление затрудняет атаки украденных хешей с любой значительной скоростью.

Тем не менее, вендор принимает дополнительные меры, чтобы удостовериться в безопасности данных. Пользователи, которые попытаются зайти в аккаунт LastPass с нового устройства или нового IP-адреса будут вынуждены пройти подтверждение операции по электронной почте, если мультифакторная аутентификация не активирована. В качестве дополнительной меры предосторожности, LastPass будет призывать пользователей поменять мастер-пароль.

Соответствующее электронное сообщение было отправлено всем пользователям, которых коснулся данный инцидент. LastPass будет побуждать пользователей поменять мастер-пароль. Однако, Вы можете не обновлять мастер-пароль, пока не получите соответствующий запрос. Как бы то ни было, если Вы использовали ваш мастер-пароль на других сайтах, Вам нужно поменять пароли на данных сайтах.

Так как зашифрованные данные не были украдены, Вам не нужно менять пароли для сайтов, сохраненные в хранилище LastPass. Как всегда, компания рекомендует активировать мультифакторную аутентификацию для дополнительной защиты вашего аккаунта.

Безопасность и конфиденциальность являются главными приоритетами LastPass. На протяжении многих лет компания использует прозрачные проактивные методы для защиты своих пользователей. В дополнение к перечисленным мерам, LastPass работает совместно с специализированными службами и судебными экспертами.

“Мы извиняемся за необходимости выполнения дополнительных шагов проверки аккаунта и обновления мастер-пароля, но верим, что данные меры обеспечат Вам лучшую защиту. Спасибо за понимание и поддержку” — сообщается в официальном блоге LastPass.

Часто задаваемые вопросы:

— Почему меня не оповестили по электронной почте?

— Соответствующие электронные письма были отправлены всем пользователям, которых коснулся данный инцидент. Рассылка занимает больше времени, чем публикация сообщения в блоге, но мы пытаемся уведомить всех пользователей как можно скорее.

— Нужно ли мне поменять мастер-пароль прямо сейчас?

Учетные записи LastPass заблокированы. Доступ к своему аккаунту возможен только с доверенного IP-адреса или устройства — в противном случае потребуется верификация. Поэтому Мы уверены, что ваш аккаунт LastPass находится в безопасности. Тем не менее, если Вы использовали слабые пароли в качестве мастер-пароля (например: robert1, mustang, 123456799, password1!) или использовали мастер-пароль на других сайтах, нужно изменить его.

LastPass Security Notice. Перевод Comss.ru.
fStrange
+3
fStrange, 16 Июня 2015 , url
Поэтому лучше пользоваться оффлайновыми программами, а на онлайн сервисах хранить только шифрованные массивы данных.
У меня стоит обычный Keepass на нескольких устройствах с синхронизацией на Гугл и на Амазон. При возможном взломе, нгичего не теряю.
Stopor
+1
Stopor, 16 Июня 2015 , url
В этом согласен: использую те же самые средства.
У-ук
+1
У-ук, 16 Июня 2015 , url
Так и изначально зачем доверять пароли ко всему одному сайту, может он под АНБ?
Тоже использую офлайновый KeePass
sever7
0
sever7, 16 Июня 2015 , url
Что — никто не в состоянии сам запомнить свои же пароли?
X86
+2
X86, 16 Июня 2015 , url
Зачем запоминать разные пароли к 30 сайтам, если можно это доверить программе, а самому запомнить только один сложный пароль к этой программе?
sever7
0
sever7, 16 Июня 2015 , url
Дело привычки — результат, как говориться — на лицо.:) Не доверяю я всем этим облачным хранилищам, и т.д.
X86
+1
X86, 16 Июня 2015 , url
да, но иметь один пароль ко всем сайтам — небезопасно, а запоминать множество паролей — не так легко. Подобные сервисы позволяют хранить пароли к не особо важным сайтам. А банковские пароли и пароли на основную почту можно и запомнить.
RussiaRulit
0
RussiaRulit, 17 Июня 2015 , url
Ну допустим даже не 30, а к 10-20, если пароли где то 15-20 символов со спецсимволами и разным регистром букв типа Qs#jhS@15$FgpvCLlbGq@,cкажем так непросто и рискованно. Забудешь один символ… или регистр конкретного символа, и мучайся потом…
Vlad0s
0
Vlad0s, 22 Июня 2015 , url
Я это предвидел и не пользовался.
deadbug
0
deadbug, 2 Июля 2015 , url
а кому доверять теперь то
vernale
0
vernale, 12 Июля 2015 , url
Всегда поражался людям, которые свои пароли хранят где-то удаленно в сети, пользуясь «благами» цифровой цивилизации. Идиоты?


Войдите или станьте участником, чтобы комментировать