LastPass подтвердила новую утечку данных пользователей через сторонний сервис

Сервис управления паролями LastPass подтвердил утечку конфиденциальных данных пользователей в результате нового инцидента в сфере безопасности.

В число скомпрометированных данных попали имена клиентов, номера телефонов, физические и электронные адреса. По заявлению LastPass, утечка произошла через сторонний сервис анализа рынка Klue, интегрированный в системы компании. Хакеры получили доступ к хранившимся в Klue OAuth-токенам LastPass и использовали их для извлечения данных пользователей.

Представители компании сообщили, что обнаружили инцидент 12 июня и оперативно заблокировали несанкционированный доступ. «Продукты, сервисы и инфраструктура LastPass не пострадали, хранилища клиентов остаются в безопасности», — подчеркнули в компании.

Данный инцидент менее критичен, чем утечка 2022 года, когда злоумышленники получили копии зашифрованных паролей пользователей. Ранее в этом году LastPass согласилась урегулировать иск по тому делу, выплатив пострадавшим 24,5 млн долларов. Пользователи, зарегистрированные в сервисе до ноября 2022 года, могут подать заявление на выплату до 2 июля 2026 года.

В связи с последней утечкой LastPass призвала клиентов быть бдительными и опасаться фишинга. «Проявляйте осторожность при получении незапрошенных сообщений, включая электронные письма и телефонные звонки. Помните, что сотрудники LastPass никогда не запрашивают мастер-пароль», — говорится в официальном заявлении.

Параллельно с этим конкурирующий менеджер паролей Dashlane сообщил о брутфорс-атаке (переборе паролей) на 20 пользователей, целью которой была регистрация новых устройств в существующих аккаунтах.