Избранное сообщение

вторник, 27 апреля 2021 г.

В сеть утекли данные менеджера паролей Passwordstate




Рисунок: Виктор Чумачев / Коммерсантъ

Паролельная реальность

27.04.2021

Клиенты австралийского разработчика менеджера паролей Passwordstate получили обновление с вредоносным файлом, который передавал их данные злоумышленникам. В РФ Passwordstate используют провайдеры облачных сервисов, телеком-операторы и финансовые организации. В целом же спрос на менеджеры паролей растет, отмечают аналитики. Пока подобные утечки происходят редко, атаки на подобные сервисы трудозатратны. Но ни один не безопасен на 100%, а ценность информации, которую могут получить злоумышленники, велика. В итоге, признают эксперты по кибербезопасности, пароли к особо ценным ресурсам стоит доверять только собственной памяти.

Австралийская Click Studios (разработчик менеджера паролей Passwordstate) предупредила клиентов о взломе, следует из ее письма, опубликованного в Twitter польской Niebezpiecznik. С 20 по 22 апреля злоумышленники распространили среди клиентов Passwordstate вредоносное обновление: на устройства загружался архив в формате .zip, после установки которого преступники получали данные пользователей. Пароли в Passwordstate находятся в зашифрованном виде, но в свободном доступе есть инструменты для расшифровки, предупредил исследователь кибербезопасности Хуан Андре в Twitter. Click Studios рекомендовала клиентам сменить пароли и выпустила пакет исправлений, который позволит удалить вредонос с устройств.

Passwordstate используют 370 тыс. специалистов по информационной безопасности и 29 тыс. компаний по всему миру, многие из них входят в рейтинг Fortune 500, говорится на сайте Click Studios. Из российских компаний в рейтинг Fortune 500 в 2020 году вошли «Газпром», ЛУКОЙЛ, «Роснефть» и Сбербанк (используют ли они Passwordstate — неизвестно, на запрос “Ъ” в компаниях не ответили).

Менеджеры паролей используют для создания и хранения информации о логине, пароле и ресурсе, где они применяются, а также генерируют по запросу надежные комбинации, пояснил старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Продажи подобных решений в России быстро растут, говорит руководитель департамента развития ИБ Syssoft Дмитрий Ковалев.

Сам Passwordstate, по словам эксперта, нишевое решение, его приобретают в основном провайдеры облачных сервисов, телеком-операторы и финансовые организации. В России больше востребованы решения отечественных разработчиков и продукты open source (программное обеспечение с открытым исходным кодом), рассказывает гендиректор Infosecurity a Softline Company Кирилл Солодовников. Высоко востребованы в России 1Password, Dashlane, Passwork, Lastpass, Keepass, уточняет инженер по безопасности хостинг-провайдера REG.RU Артем Мышенков. Но ни один подобный сервис, по его мнению, не может гарантировать 100% безопасности.

Громкие взломы менеджеров паролей происходят довольно редко, хотя они и являются «лакомым куском для злоумышленников», отмечает Кирилл Солодовников. Таких инцидентов немного, подтверждает Денис Легезо. Причина в том, что атаки подобные той, что произошла на Passwordstate, трудозатратны и требуют длительной подготовки, объясняет эксперт центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая.

В Passwordstate могут храниться пароли от критичных корпоративных систем, а значит, если их вовремя не сменят, злоумышленники могут получить доступ к инфраструктурам организаций, предупреждает ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин. Он рекомендует использовать офлайновые менеджеры с открытым исходным кодом и периодически менять пароли.

Несмотря на недочеты, менеджеры паролей являются действенной мерой обеспечения цифровой безопасности как для предприятий, так и для частных пользователей, убежден исследователь компании ESET Амер Овайда: «Это более надежный и удобный вариант, чем попытки самостоятельно придумать и запомнить многочисленные пароли». Но, по мнению ведущего эксперта по информационной безопасности «Крок» Анастасии Федоровой, самую ценную информацию по цифровым активам следуют запоминать, не доверяя ни записным книгам, ни менеджерам паролей.

Юлия Степанова

 https://www.kommersant.ru/doc/4792041?from=main_8
https://creativecommons.org/licenses/by/3.0/legalcode