Новый взлом с использованием информации, полученной в ходе предыдущего взлома, раскрыло имена пользователей, адреса электронной почты и многое другое.
Служба управления паролями LastPass в четверг раскрыла более подробную информацию о взломе в ноябре, подтвердив, что была раскрыта основная информация о клиенте, но не такие важные данные, как пароли или данные кредитной карты.
Взлом в конце ноября произошел в результате более раннего августовского взлома, когда злоумышленники взломали одну из серверных баз кода LastPass. Они украли данные компании, которые затем недавно использовались для взлома другой базы данных LastPass для сбора незашифрованных данных о клиентах, таких как имена, адреса электронной почты и платежные адреса, номера телефонов и IP-адреса. Никакие незашифрованные данные кредитных карт не были раскрыты.
Более конфиденциальные данные, включая имена пользователей и пароли, также были украдены, но поскольку они по умолчанию зашифрованы мастер-паролем, который не хранится на серверах LastPass, маловероятно, что они будут раскрыты.
Другие злоумышленники все еще могут получить доступ к этим конфиденциальным данным, если пользователи упростят угадывание своих мастер-паролей, например, если они используются для входа на другие сайты, или если они станут жертвами фишинга или схем социальной инженерии. Если они установили свой мастер-пароль в соответствии с рекомендациями LastPass, которые они повторили в сообщении в блоге, раскрывающем брешь, то на его угадывание уйдут «миллионы лет».
Хотя взломы становятся все более распространенными, это событие продемонстрировало два важных момента в современной киберпреступности. Во-первых, первоначальная утечка, которая не затрагивает обычных пользователей, может привести к другой, которая затрагивает, и, во-вторых, решение LastPass никогда не хранить мастер-пароли пользователей означает, что украденная информация компании не может взломать зашифрованные пользовательские данные — по крайней мере, пока.