Менеджеры паролей должны быть очень полезными (не говоря уже о супербезопасными) способами хранить все ваши логины в одном удобном месте. Вот почему вам следует начать использовать менеджер паролей, если вы еще этого не сделали. Вместо того, чтобы записывать свои логины на стикере, сохранять их в документе на своем компьютере или записывать их в список на телефоне, менеджеры паролей призваны запомнить и защитить вас. Последняя часть особенно важна для доверия к менеджеру паролей в первую очередь: он должен быть самым безопасным и защищенным от хакеров способом хранения ваших логинов. Но что произойдет, когда это доверие будет подорвано? Можно ли снова доверять этому менеджеру паролей?
Это вопрос, который пользователи LastPass не могут не задать после того, как часть из примерно 20 миллионов частных лиц и 100 000 предприятий, принадлежащих менеджеру паролей, подверглась утечке своей личной информации. Скомпрометированные данные включали имена, адреса электронной почты, номера телефонов и URL-адреса веб-сайтов, хранящиеся пользователями LastPass. И хотя модель шифрования LastPass с «нулевым разглашением» не позволила злоумышленникам расшифровать логины клиентов, это абсолютно тревожный сигнал для всех, кто ищет менеджер паролей, которому можно доверять, или для тех, кто может захотеть перенести свои данные из LastPass в другой вариант.
Что пошло не так и почему это все еще важно
Управление комиссара по информации Великобритании оштрафовало LastPass всего на 1,2 миллиона фунтов стерлингов (или около 1,6 миллиона долларов) за нарушение. Однако по большому счету это довольно мизерная сумма: менее доллара на 1,6 миллиона человек, фактически пострадавших от взлома, только в Великобритании.
Что еще хуже для LastPass, на самом деле вторжение состояло из двух инцидентов. В первом хакер получил доступ к корпоративному ноутбуку сотрудника LastPass и таким образом проник в среду разработки компании. Однако на тот момент никакие личные данные пользователя не были взяты. Ситуация изменилась во время второго инцидента, когда злоумышленник нацелился на старшего сотрудника, используя известную уязвимость в стороннем потоковом сервисе. Хакер использовал вредоносное ПО, чтобы перехватить пароль сотрудника, обойти многофакторную аутентификацию и, наконец, позволить злоумышленнику получить доступ к резервной базе данных. Хотя в данном случае это, возможно, и не помогло, всегда полезно обращать внимание на признаки того, что ваш компьютер может быть заражен вредоносным ПО.
Эксперты по безопасности заявили, что этот инцидент не был результатом одного-единственного катастрофического сбоя, а скорее комбинации ошибок в безопасности, которые в конечном итоге позволили хакеру получить доступ к базе данных резервных копий LastPass. Но это оправдание не очень помогает делу LastPass. В конце концов, системные недостатки — это не то, что можно исправить за день, неделю, месяц или даже год. Это практически требует капитального ремонта с нуля. И поскольку это произошло еще в 2022 году (а штрафы поступили только в декабре 2025 года), заставляет задуматься, сколько работы на самом деле было проделано с тех пор для улучшения безопасности вещей.
