Хакерская атака на LastPass

Идея хранения своих паролей на стороне сегодня потерпела серьезный удар. Не сказать, что Я был довольный LastPass — ничего не сказать. Наконец, Я смог спокойно засыпать по ночам не боясь слома моих легких паролей. До сегодняшнего вечера...

Еще утром всё было нормально, а вот под вечер система просто с ничего попросила сменить мастер-пароль. Ну да ладно сменить, так сменить, поставил новый. Вроде как удачно, даже высветилось сообщение, что все данные перешифрованы. Сразу после этого, зайти в веб-интерфейс LastPass Я уже не смог. Ни по новому паролю, ни по старому...
Как позже выяснилось, сервис попал под атаку хакеров. Администраторы заметили неприличный рост трафика с сервера не использующего критические данные. Сразу после этого ситуация повторилась на другом сервере, где уже были расположены зашифрованные данные. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ».

Смена паролей вызвала такую дикую нагрузку, на сервера, что достучаться к странице смены пароля, в данный момент просто невозможно. Администраторы ввели новый элемент безопасности — проверку IP. По аналогии как это сделано в Gmail. Единственное, что остается делать, это ждать и надеяться на то, что в ближайшие дни как только трафик уменьшится, Я смогу сменить пароль корректно и таки получить доступ к своему аккаунту. Паники как таковой нет. Огорчает, что в случаи неудачи, придется восстанавливать пароли вручную, более чем к полусотне сайтов, разной Важности. А это не есть очень хорошо.

Радует, что компания признала факт слома сразу, и сразу начала действовать над исправлением ситуации. Очевидно, что на это решение повлиял недавний скандал со сломом PSN от Sony, когда личные данные пользователей социальной сети, для PS были выкачаны злоумышленниками, а это около 77 млн пользователей.

Что же ждет потенциальных жертв. В принципе кроме ряда неудобств, описанных мной выше, наверное больше ничего. Все данные хранящиеся на сервере зашифрованы, сломать их теоретически можно, а практически только если Ваш пароль 123456 или в таком же духе. Кроме того, любой кто сейчас хочет подключится к сервису — должен сменить мастер-пароль, а это значит уведомление на контактный емейл + проверка по IP

Особые параноики (типа меня), могут почитать об алгоритме шифрования, поездке в дрезден и продолжать  ждать пока ребята с LastPass поднимут сервера, и позволят наконец сменить мастер-пароль, и Я надеюсь, войти наконец в свой аккаунт.

UPD 22:45 07.05.2011 Написав на support@lastpass.com и не получив ответа, через сутки, решил написать еще раз (уж простите мою настойчивость). К удивлению, мне отписал сам CEO LastPass — Joe Siegrist. «Аккаунт восстановлен с бекапа, и Я могу попытаться зайти со старым паролем». Всё работает, так что писать в техподдержку можно и нужно. В письме Я указал свой IP с которого прошла неудачная смена пароля, приблизительное время смены (по средне американскому времени), и мой почтовый ящик зарегистрированный в  LastPass.

Пока нет похожих постов.