LastPass оштрафовали за утечку данных 160 тыс. пользователей
Британский регулятор по защите данных наложил штраф на компанию LastPass из-за утечки данных 160 тыс. пользователей из Великобритании, вызванной уязвимостями в системе безопасности. Атакующие дважды проникли в инфраструктуру компании, используя уязвимость в программе Plex и домашнее устройство сотрудника, чтобы получить доступ к зашифрованным данным.
По данным Ithome, британский регулятор по защите данных — информационный омбудсмен (Information Commissioner’s Office, ICO) — наложил штраф в размере 120 тыс. фунтов стерлингов (примерно 1,1 млн юаней) на компанию LastPass. Причиной стали уязвимости в системе безопасности, приведшие к утечке данных 160 тыс. пользователей из Великобритании.
Цепочка утечки: от разработчика до главного ключа
В ходе расследования выяснилось, что в период с августа по октябрь 2022 года злоумышленники дважды проникли в инфраструктуру LastPass. Первым этапом стало взлом ноутбука разработчика, после чего атакующие получили часть исходного кода и зашифрованные учетные данные сотрудников.
Компания вначале оценила инцидент как ограниченный, поскольку ключи для расшифровки данных хранились отдельно. Однако злоумышленники продолжили атаку, используя уязвимость в программе Plex, установленной на домашнем компьютере одного из четырёх сотрудников, у которых был доступ к ключам.
С помощью вредоносного ПО и программы-логгера киберпреступники получили главный пароль сотрудника и, используя действительный куки-файл, обошли двухфакторную аутентификацию (MFA). Это позволило им получить доступ к облачному хранилищу GoTo, где были скопированы резервные копии базы пользовательских данных.
Риски для пользователей и последствия для бизнеса
Несмотря на применение технологии Zero Knowledge architecture, при которой серверы LastPass не хранят главные пароли пользователей, злоумышленникам удалось получить зашифрованные данные. Эксперты отмечают, что при наличии мощных вычислительных ресурсов злоумышленники могут использовать GPU-ускорение для перебора слабых паролей.
Уязвимость особенно высока для тех, кто не соблюдает рекомендации по созданию сложных паролей. Некоторые специалисты уже связывают утечку с увеличением случаев хищения криптовалют.
Реакция LastPass и рекомендации ICO
LastPass заявила, что принимает меры по усилению своей системы безопасности и выражает сожаление по поводу решения регулятора. В то же время, ICO подчеркнуло важность пересмотра политик, касающихся безопасности удалённой работы и использования личных устройств для доступа к корпоративным системам.
Регулятор также призвал другие компании провести аудит своих стратегий безопасности, особенно в части управления доступом и мониторинга активности на внешних устройствах.
Интересно: Каким образом можно защитить корпоративные данные от утечек через домашние устройства сотрудников, если традиционные меры безопасности не срабатывают?
Утечка LastPass: когда безопасность начинается не с алгоритмов, а с поведения
Когда защита зависит от человека, а не от системы
Безопасность в цифровом мире часто воспринимается как вопрос технологий — сложных алгоритмов, криптографии, облачных стен. Но история с утечкой LastPass напоминает, что самая уязвимая точка в любой системе — это человек. В данном случае, это не клиент, а сотрудник самого сервиса.
Злоумышленники не взломали алгоритм, не обманули протокол. Они нашли путь через повседневную халатность: разработчик, работающий с корпоративными ключами на личном ноутбуке, и программа Plex, установленная на этом же устройстве, стала дверью в систему. Это не случайность. Это типичная схема атаки, которая становится всё более актуальной в условиях удалённой работы.
Важный нюанс: Современные угрозы безопасности — это не всегда вопросы технологий. Часто это проблемы поведения, культуры и управления доступом.
Утечка как цепочка ошибок, а не единичный инцидент
Атака на LastPass — это не одна точка слабости, а цепочка, в которой каждое звено могло быть предотвращено. Взлом ноутбука, использование логгера, обход двухфакторной аутентификации — всё это указывает на то, что корпоративная политика безопасности не была достаточно строго соблюдена.
Особенно интересно, что злоумышленники воспользовались куки-файлом, чтобы обойти MFA. Это показывает, что даже при наличии двухфакторной аутентификации, недостаточно одного механизма — нужно комбинировать подходы и контролировать активность в реальном времени.
Важный нюанс: Безопасность — это не список правил, а система, где каждое действие сотрудника влияет на общий уровень риска.
Что это значит для российского бизнеса?
Для компаний, которые внедряют удалённую работу, история LastPass — предупреждение. В условиях, когда сотрудники используют личные устройства, важно не только устанавливать политики, но и мониторить их исполнение.
Российские компании, особенно те, кто работает с данными, находящимися в облаке, должны задуматься о следующем:
- Использование корпоративных устройств для доступа к критическим системам.
- Контроль за установленным ПО на устройствах сотрудников.
- Аудит активности в системах, особенно при входе с неизвестных IP-адресов или устройств.
- Обучение сотрудников не только по техническим аспектам, но и по поведению, которое снижает риски.
Углубление в контекст: человеческий фактор и его масштабные последствия
Инцидент с LastPass — это не единичный случай. В 2025 году 85% организаций столкнулись с утечкой данных, причём в половине случаев виновниками стали сотрудники или подрядчики, в том числе 1% пользователей, чьи действия составили 76% всех инцидентов [!]. Это подчеркивает, что человеческий фактор остаётся одной из главных точек уязвимости.
Важно учитывать, что 65% компаний считают сотрудников основным риском в кибербезопасности, особенно из-за использования открытых мессенджеров и ИИ-моделей для передачи конфиденциальной информации [!]. Несмотря на высокую осведомлённость, только 19% организаций применяют исключительно корпоративные решения для коммуникации, а уровень применения двухфакторной аутентификации остаётся низким.
Слабые пароли: угроза, которую нельзя игнорировать
Ещё один критический аспект утечки LastPass — это слабость пользовательских паролей. В Великобритании, где произошла утечка, пользователи продолжают использовать простые и легко взломанные пароли, такие как «admin», «123456» и «password» [!]. В рейтинге 200 самых популярных паролей 2024 года такие комбинации доминируют, включая цифровые последовательности и стандартные слова. Это подчёркивает низкий уровень осведомлённости о кибербезопасности и создаёт значительные риски для личных данных.
Согласно данным Comparitech, более 2 миллиардов утекших данных содержат повторяющиеся и слабые пароли, такие как «123456» и «123456789» [!]. Более трети популярных паролей включают последовательности вроде «123», а 65,8% утекших паролей состоят менее чем из 12 символов — длины, считающейся минимальной для безопасности. Такие простые комбинации легко подбираются современными программами, что увеличивает риски для пользователей.
Риски утечки данных через популярные инструменты разработчиков
Утечка LastPass также поднимает важный вопрос: как часто данные утекают через инструменты, которыми пользуются программисты. В 2025 году специалисты обнаружили, что популярные веб-сервисы форматирования кода сохраняют и публично выставляют введённые пользователем данные, включая конфиденциальную информацию, что привело к утечке тысяч записей, в том числе из таких отраслей, как госуправление, банки, здравоохранение и кибербезопасность [!]. Эксперимент с использованием специальных маркеров показал, что злоумышленники могут активно использовать утекшие данные, о чём свидетельствует попытка воспользоваться ключом AWS в течение двух дней после его публикации.
Рост рисков из-за удалённой работы с личной техникой
Удалённая работа способствует увеличению использования личных устройств в профессиональных задачах: 41,4% сотрудников применяют как корпоративные, так и собственные гаджеты [!]. Это приводит к тому, что 36% рабочих файлов хранятся вне корпоративной сети. В результате растёт число инцидентов — 46% пользователей личных устройств сталкивались с проблемами, такими как потеря данных, заражение вирусами или утечка информации.
Рекомендации для бизнеса: что делать дальше
На основе анализа утечки LastPass и других инцидентов, можно выделить следующие шаги, которые помогут снизить риски:
- Использовать только корпоративные устройства для доступа к критическим системам и данным.
- Ограничивать установку стороннего ПО на рабочих устройствах и регулярно проверять его наличие.
- Внедрять двухфакторную аутентификацию и дополнительные механизмы контроля доступа.
- Проводить регулярные аудиты активности в системах, особенно при входе с неизвестных устройств.
- Обучать сотрудников основам кибербезопасности и правилам поведения в цифровом пространстве.
- Использовать корпоративные мессенджеры и ИИ-инструменты, исключающие утечку конфиденциальной информации.
- Регулярно обновлять пароли и использовать генераторы сложных комбинаций.
Важный нюанс: Эти меры не гарантируют полной защиты, но значительно снижают вероятность утечки данных и уменьшают её последствия в случае инцидента.
Заключение
История LastPass — это не только инцидент, а сигнал к тому, что безопасность в цифровом мире требует системного подхода. Технологии важны, но они не заменяют человеческую ответственность. В условиях роста удалённой работы, увеличения объёмов данных и активного использования ИИ, бизнесу необходимо пересмотреть подходы к управлению рисками и создать культуру, в которой безопасность становится частью повседневной практики.
Источник: IT Home
