После серии взломов, произошедших более полутора лет назад, компания LastPass, специализирующаяся на управлении паролями, объявила о своём отделении от материнской компании GoTo. Решение о выделении LastPass в отдельную компанию было принято ещё в декабре 2021 года, спустя шесть лет после покупки GoTo. Теперь LastPass будет функционировать под управлением акционерной холдинговой компании LMI Parent.
Проблемы LastPass начались в конце 2022 года, когда было признано, что хакеры украли исходный код в августе того же года. В ноябре компания сообщила, что злоумышленники получили доступ к “определённым элементам” информации о клиентах, однако уверяла, что пароли пользователей остались в безопасности. Несмотря на это, хакеры смогли скопировать резервную копию хранилища паролей, а также захватить ключи шифрования, по крайней мере, части из них.
В сентябре 2023 года исследователи в области безопасности указали на несколько признаков, свидетельствующих о том, что этот взлом был использован для кражи более 35 миллионов долларов из криптовалютных кошельков более чем 150 жертв. В частности, похищенные “сид-фразы” – цифровые ключи, необходимые для доступа к инвестициям в криптовалюты, точно хранились именно в LastPass.
В январе компания начала требовать от новых и существующих клиентов, сбрасывающих пароли, устанавливать мастер-пароль не менее 12 символов. Это считается отраслевым минимумом для обеспечения достойной безопасности. Ранее LastPass по умолчанию предлагал 12 символов, но разрешал устанавливать и более короткие пароли.
В ответ на критику и попытки восстановить доверие, LastPass заявила о создании “специализированной группы угроз разведки” в прошлом году. В команду недавно были приглашены новые руководители, включая бывшего вице-президента McAfee.
Тем не менее, компанией по-прежнему руководит Карим Тубба, который находился у руля во время раскрытия информации о взломе 2022 года. Похоже, перед LastPass стоит немало работы, чтобы вновь заслужить доверие пользователей.