07 мая 2011

Атака (?) на сервис LastPass

Глава LastPass, сервиса для хранения паролей онлайн, Joe Siegrist дал подробное интервью PCWorld и поделился подробностями истории, о которой LastPass рассказал в своём блоге ещё 4 мая.


Если коротко, то сотрудники LastPass заметили подозрительный трафик, идущий с нескольких их серверов, хранящих адреса электронной почты пользователей, хешированные пароли и соль к ним.

Данный факт не является прямым доказательством реальной утечки данных, да и объём страннного трафика соответствует информации максимум о паре сотен учётных записей, но LastPass сразу забил тревогу и начал применять целый ряд мер во избежание компрометации паролей своих пользователей. Запись в своём корпоративном блоге они регулярно обновляют, держа всех заинтересованных в курсе происходящего.

Такой подход к своим клиентам может вызывать только уважение. Утечки могло и не быть, потенциальные её масштабы не велики, а LastPass открыто говорит о случившемся с деталями и подробностями. Мне думается, что многие на их месте предпочли бы промолчать и скрыть досадный инцидент - всё же удар по имиджу, могущий привести к оттоку клиентов... Но нет, это отдельные российские компания могут позволить себе стыдливо молчать о происходящем (взять хотя бы мой предыдущий пост =) ), а LastPass, как оказалось, не такие - за это им большое спасибо!

Что касается практической стороны вопроса, то мой пароль для этого сервиса, например, достаточно сложный, чтобы опасаться, что по хешу и соли его подберут, но чуть позже, когда поток желающих сменить пароль и нагружающих сервера вплоть до задержек с авторизацией схлынет, на всякий случай его поменяю, что и остальным советую. В конце концов, любой пароль желательно хотя бы иногда менять.