С начала мая у пользователей менеджера паролей LastPass возникли проблемы со входом в систему после того, как им предложили сбросить настройки многофакторной аутентификации. Об этом клиентов просили разработчики, которые заявляли об обновлениях безопасности 9 мая.
Однако с тех пор пользователи не могут получить доступ к своему хранилищу LastPass даже после успешного сброса приложений MFA (например, LastPass Authenticator, Microsoft Authenticator, Google Authenticator). Проблема усугубляется тем, что затронутые клиенты не могут обратиться в службу поддержки менеджера паролей, поскольку для этого им требуется войти в свои учётные записи.
«Мне было предложено повторно ввести мастер-пароль, затем меня заставили обновить MFA, что я успешно сделал, и теперь я вообще не могу войти в систему», — жалуется один из пользователей, обратившись за помощью на веб-сайте сообщества LastPass.
«Чтобы повысить безопасность вашего мастер-пароля, LastPass использует более надёжную, чем обычно, версию функции получения ключа на основе пароля (PBKDF2)», — поясняется в бюллетене службы поддержки, разосланном пострадавшим пользователям. PBKDF2 представляет собой «алгоритм усиления пароля».
«Принудительный выход из системы + ресинхронизация MFA происходят по мере того, как мы увеличиваем количество итераций пароля клиента. Это связано с шифрованием вашего хранилища LastPass», — сообщила компания в Twitter.
В другом бюллетене LastPass отмечает, что пользователям предложили повторно зарегистрироваться в MFA для обеспечения их безопасности при входе в LastPass.
«Вы должны войти на веб-сайт LastPass в своем браузере и повторно зарегистрировать свое приложение MFA, прежде чем снова сможете получить доступ к LastPass на своем мобильном устройстве. Вы не можете повторно зарегистрироваться с помощью расширения браузера LastPass или приложения LastPass Password Manager», — объясняет компания.
Подробная процедура, необходимая для сброса сопряжения между LastPass и приложением-аутентификатором (LastPass Authenticator, Microsoft Authenticator или Google Authenticator), подробно описана в документе службы поддержки. При следующем входе на веб-сайт или в приложение с помощью LastPass пользователю предложат подтвердить его местоположение. При входе на веб-сайт или в приложение, где использовался пароль LastPass, нужно снова ввести свои учётные данные и пройти аутентификацию с помощью приложения-аутентификатора.
«После инцидентов 2022 года мы разослали сообщения по электронной почте и внутри продукта нашей клиентской базе, рекомендуя им в качестве меры предосторожности сбросить свои секреты MFA с помощью выбранного приложения. Эта рекомендация была включена в бюллетени по безопасности, которые мы отправили нашим B2C и B2B-клиентам в начале марта, а также во второе электронное письмо в начале апреля», — сообщил BleepingComputer представитель LastPass.
По его словам, «часть клиентов до сих пор не предприняла это действие, поэтому мы предлагали им принять меры при следующем входе в LastPass».
В августе 2022 года команда LastPass сообщила о взломе менеджера паролей. Хакеры с помощью скомпрометированной учётной записи смогли проникнуть внутрь закрытого периметра, скопировать исходные коды проектов и проприетарную техническую информацию.
В сентябре в LastPass раскрыли, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток.
Позднее выяснилось, что злоумышленники смогли взломать платформу во второй раз за четыре месяца.
В январе стало известно, что в ходе атаки хакеры получили доступ к данным пользователей LastPass. Выяснилось, что они проникли в сеть с помощью взломанного компьютера DevOps-инженера.
Источник новости: habr.com
