На прошлой неделе компания LastPass объявила, что злоумышленники похитили зашифрованные хранилища паролей клиентов. Хотя компания настаивает на том, что ваши данные все еще в безопасности, некоторые эксперты по кибербезопасности подвергают ее сообщение жесткой критике.
Заявление LastPass от 22 декабря было “полно упущений, полуправды и откровенной лжи”, – говорится в блоге Владимира Паланта, исследователя кибербезопасности.
Он также подчеркивает признание LastPass в том, что утечка данных включала “IP-адреса, с которых клиенты получали доступ к сервису LastPass”, говоря, что это могло позволить хакерам “создать полный профиль движения” клиентов, если LastPass регистрировала каждый IP-адрес, который вы использовали в своем сервисе.
Другой исследователь безопасности, Джереми Госни, написал длинный пост на Mastodon, объясняя свою рекомендацию перейти на другой менеджер паролей. LastPass утверждает, что ее архитектура обеспечивает безопасность пользователей, потому что компания никогда не имеет доступа к вашему мастер-паролю, который нужен хакерам, чтобы открыть украденные “сейфы” с паролями. Хотя Госни не оспаривает этот тезис, он говорит, что фраза вводит в заблуждение. “Я думаю, что большинство людей представляют себе хранилище как некую зашифрованную базу данных, где весь файл защищен, но нет – в LastPass ваше хранилище представляет собой файл с открытым текстом, и только несколько отдельных полей зашифрованы”.
Источник: Ferra