Пользователи менеджера паролей LastPass подверглись массированным атакам

0
27

Перебор паролей или…?

Компания LastPass, разработчик одноимённого менеджера паролей, сообщила о том, что его пользователи подверглись атаке класса Credential Stuffing (перебор паролей). Такие атаки подразумевают попытки подобрать комбинации из логинов и паролей, утекших из разных источников, в надежде, что пользователи установили одинаковые пароли для нескольких ресурсов.

В данном случае хакеры пытались получить доступ к облачным хранилищам паролей пользователей LastPass, сообщает издание The Record. Использование облака для хранения паролей позволяет использовать их со множества устройств.

В самой компании указывают, что не обладают информацией о том, что атаки были успешными.

Атака была подтверждена после того, как десятки пользователей со всего мира сообщили о получении предупреждений о попытках получить доступ к их паролям с использованием корректных мастер-паролей; эти попытки блокировались, поскольку исходили от подозрительных IP-адресов — из Бразилии, Франции, Бангкока и других регионов.

Пользователи менеджера паролей LastPass подверглись массированным атакам

Неизвестные злоумышленники получили доступ к мастер-паролям множества пользователей LastPass

Нынешняя атака — первая попытка воспользоваться перебором паролей в отношении популярного менеджера паролей. Если, конечно, речь идёт именно о переборе, а не о чём-то другом.

«Специалисты LastPass провели расследование в связи с сообщениями о заблокированных попытках входа в системы, и мы полагаем, что данные инциденты связаны с атаками перебором паролей, при которых злоумышленники пытаются получить доступ к пользовательским аккаунтам, в данном случае LastPass, используя почтовые адреса и пароли, полученные из сторонних источников — утечек данных из других сервисов, никак не связанных с LastPass. Важно отметить, что на данный момент никаких признаков того, что доступ к атакованным аккаунтам был успешно получен, нет, так же как нет оснований предполагать, что сервис LastPass был каким-либо образом скомпрометирован третьей стороной. Мы регулярно отслеживаем этот тип деятельности потенциальных злоумышленников и сделаем всё, чтобы удостовериться, что LastPass, его пользователи и их данные оставались в безопасности и под защитой», — говорится в заявлении компании.

Возможны варианты

Но наблюдается одно странное обстоятельство, заставляющее предположить, что дело не только в атаках перебором паролей. Как минимум несколько пользователей посетовали, что после попытки их атаковать с помощью действительного мастер-пароля, они сменили его, а затем обнаружили новые попытки атаки — уже с использованием нового мастер-пароля.

Эксперт по безопасности Боб Дьяченко (Bob Diachenko) заявил, что он обнаружил в логах вредоносной программы Redline Stealer, крадущей реквизиты доступа к онлайн-сервисам, тысячи действительных пар логинов и паролей к LastPass.

«Это, впрочем, не объясняет, почему наблюдались повторные атаки с использованием уже сменённых паролей, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Подобное может происходить либо в случае компрометации систем самого разработчика менеджера паролей, которую тот отрицает, либо в случае, если злоумышленники имеют возможность каким-либо образом перехватывать новые пользовательские пароли».

Боб Дьяченко позднее написал в твиттере, что в логах Redline Stealer не обнаружилось почтовых адресов тех людей, чьи облачные хранилища LastPass пытались атаковать через мастер-пароли, так что вектор компрометации остаётся загадкой.