Последний пароль сообщил, что домашний компьютер инженера DevOps был взломан для похищения данных из банка паролей во время дата-брейка в августе 2022 года.
В 2022 году данные хранилища LastPass были утеряны при взломе.
В феврале 2023 года LastPass выпустил уведомление о безопасности в связи с данными инцидента, который произошел в августе 2022 года. LastPass уже сообщил читателям, что в ходе атаки были получены доступ к клиентским хранилищам данных, а еще одна атака произошла в ноябре 2022 года, которая была связана с первой. Из первого поражения также по данным было украдено 53000 долларов США в биткойнах, по которым был подан иск группового предъявителя.
Последний пасс также заявил, что «атакующий перешел от первого инцидента, который закончился 12 августа 2022 года, но активно участвовал в новой серии действий по разведке, перечислению и эксфильтрации, связанных с облачным хранилищем, начиная с 12 августа 2022 года и заканчивая 26 октября 2022 года». Только после того, как AWS GuardDuty Alerts уведомил LastPass о необычной активности, проблема была поднята.
Программный пакет был использован для взлома целевого компьютера.
После доступа к хранилищу злоумышленник экспортировал записи хранилища и содержимое общей папки. В экспортированных данных были зашифрованные заметки безопасности, а также ключи расшифровки LastPass. Для доступа к резервным копиям LastPass AWS S3, другим облачным ресурсам хранения и некоторым связанным критическим резервным копиям баз данных необходимо было использовать эти ключи.
Пользователи LastPass возражают против его надежности.
Хотя некоторые пользователи оценивают прозрачность LastPass по поводу данного инцидента, многие рассердятся из-за продолжающихся проблем с безопасностью компании. Расстроенные пользователи перешли на Twitter, чтобы выразить свои чувства о безопасности LastPass. Как видно ниже, один индивидуальный критик принял решение LastPass предоставить некоторым сотрудникам доступ к расшифрованному хранилищу паролей. Однако даже при таких обстоятельствах, пользователи должны понимать, что безопасность их аккаунтов на LastPass по-прежнему остается на высоком уровне. Тем не менее, многие пользователи продолжают высказывать недовольство по поводу проблем безопасности LastPass.
Репутация LastPass под ударом после этих атак: мнения расходятся.
В связи с многочисленными проблемами безопасности в последние годы, люди начали сомневаться в том, является ли LastPass достойным вариантом для хранения паролей. С некоторыми пользователями, уже покинувшими LastPass, неизвестно, как этот менеджер паролей преодолеет этот шторм.
