Как стать автором
Обновить

Пользователей LastPass предупредили о компрометации паролей, но сервис все отрицает

Время на прочтение 3 мин
Количество просмотров 4.6K

Многие пользователи LastPass сообщают, что их мастер-пароли были скомпрометированы. Они пришли к такому выводу после того, как получили электронные письма с предупреждениями о том, что кто-то пытался использовать их пароли для входа в учетные записи из неизвестных мест.

Valcrist
Valcrist

В уведомлениях по электронной почте также упоминается, что попытки входа в систему были заблокированы, поскольку они были сделаны из незнакомых мест по всему миру: «LastPass заблокировал попытку, но вам стоит обратить на это внимание. Это вы?»

Сообщения о взломанных мастер-паролях LastPass поступают через множество социальных сетей и онлайн-платформ, включая Twitter, Reddit и Hacker News

Старший директор LogMeIn Global по связям с общественностью и дополненной реальностью Николетт Баксо-Альбаум сообщил BleepingComputer, что «LastPass изучил недавние сообщения о заблокированных попытках входа в систему и определил, что эта активность связана с довольно распространенной деятельностью ботов, когда злоумышленник пытается получить доступ к учетным записям пользователей ( в данном случае LastPass) с использованием адресов электронной почты и паролей, полученных в результате взломов третьих лиц, связанных с другими неаффилированными службами».

По его словам, у компании нет никаких указаний на то, что к учетным записям был успешно осуществлен доступ или что служба LastPass была иным образом взломана неавторизованной стороной. 

Однако пользователи, получающие эти предупреждения, заявили, что их пароли уникальны для LastPass и больше нигде не используются. 

В то время как LastPass не раскрывает никаких подробностей относительно того, как злоумышленники стоят за этими попытками заполнения учетных данных, исследователь безопасности Боб Дьяченко говорит, что недавно он обнаружил тысячи учетных данных LastPass, просматривая журналы вредоносных программ Redline Stealer.

BleepingComputer сообщил клиентам LastPass, которые получили такие предупреждения, что их электронные почты не были в списке пар входа, собранных RedLine Stealer. Это означает, что, по крайней мере, в случае некоторых случаях, злоумышленники использовали другие средства для кражи мастер-паролей.

Некоторые клиенты также сообщали, что кто-то опять пытался использовать их мастер-пароль уже после его изменения. Клиенты, которые пытались отключить и удалить свои учетные записи LastPass, сообщают об ошибках. Что-то пошло не так после нажатия кнопки «Удалить». 

Пользователям LastPass рекомендуется включить многофакторную аутентификацию для защиты своих учетных записей, даже если их главный пароль был скомпрометирован.

Два года назад, в сентябре 2019 года, LastPass устранил уязвимость безопасности в расширении Chrome диспетчера паролей, которая могла позволить злоумышленникам украсть учетные данные, которые в последний раз использовались для входа на сайт.

В начале года менеджер паролей изменил условия бесплатного использования сервиса. Теперь пользователи могут бесплатно хранить свои пароли только для одного типа устройства.

Между тем исследователь безопасности Майк Кукетц рекомендовал не использовать LastPass для Android, поскольку обнаружил в нем семь встроенных трекеров.

Исследователь обнаружил семь трекеров, в том числе четыре от Google для аналитики и отправки отчетов о сбоях, а также трекеры от AppsFlyer, MixPanel и Segment. Последняя собирает данные для маркетинговых команд и утверждает, что предлагает «единое представление о клиенте», связывая действия пользователей на разных платформах с их профилем.

Кукетц отмечает, что попытка монетизировать бесплатных пользователей в таком виде представляет опасность. Обычно трекеры работают так, что разработчик компилирует код в свое приложение. Собранную информацию можно использовать для создания цифрового профиля пользователя.

Теги:
Хабы:
+12
Комментарии 4
Комментарии Комментарии 4

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн