Паролельная реальность
В сеть утекли данные менеджера паролей Passwordstate
Газета «Коммерсантъ» №74 от 27.04.2021, стр. 7
Клиенты австралийского разработчика менеджера паролей Passwordstate получили обновление с вредоносным файлом, который передавал их данные злоумышленникам. В РФ Passwordstate используют провайдеры облачных сервисов, телеком-операторы и финансовые организации. В целом же спрос на менеджеры паролей растет, отмечают аналитики. Пока подобные утечки происходят редко, атаки на подобные сервисы трудозатратны. Но ни один не безопасен на 100%, а ценность информации, которую могут получить злоумышленники, велика. В итоге, признают эксперты по кибербезопасности, пароли к особо ценным ресурсам стоит доверять только собственной памяти.
Австралийская Click Studios (разработчик менеджера паролей Passwordstate) предупредила клиентов о взломе, следует из ее письма, опубликованного в Twitter польской Niebezpiecznik. С 20 по 22 апреля злоумышленники распространили среди клиентов Passwordstate вредоносное обновление: на устройства загружался архив в формате .zip, после установки которого преступники получали данные пользователей. Пароли в Passwordstate находятся в зашифрованном виде, но в свободном доступе есть инструменты для расшифровки, предупредил исследователь кибербезопасности Хуан Андре в Twitter. Click Studios рекомендовала клиентам сменить пароли и выпустила пакет исправлений, который позволит удалить вредонос с устройств.
Passwordstate используют 370 тыс. специалистов по информационной безопасности и 29 тыс. компаний по всему миру, многие из них входят в рейтинг Fortune 500, говорится на сайте Click Studios. Из российских компаний в рейтинг Fortune 500 в 2020 году вошли «Газпром», ЛУКОЙЛ, «Роснефть» и Сбербанк (используют ли они Passwordstate — неизвестно, на запрос “Ъ” в компаниях не ответили).
Менеджеры паролей используют для создания и хранения информации о логине, пароле и ресурсе, где они применяются, а также генерируют по запросу надежные комбинации, пояснил старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Продажи подобных решений в России быстро растут, говорит руководитель департамента развития ИБ Syssoft Дмитрий Ковалев.
Сам Passwordstate, по словам эксперта, нишевое решение, его приобретают в основном провайдеры облачных сервисов, телеком-операторы и финансовые организации. В России больше востребованы решения отечественных разработчиков и продукты open source (программное обеспечение с открытым исходным кодом), рассказывает гендиректор Infosecurity a Softline Company Кирилл Солодовников. Высоко востребованы в России 1Password, Dashlane, Passwork, Lastpass, Keepass, уточняет инженер по безопасности хостинг-провайдера REG.RU Артем Мышенков. Но ни один подобный сервис, по его мнению, не может гарантировать 100% безопасности.
Громкие взломы менеджеров паролей происходят довольно редко, хотя они и являются «лакомым куском для злоумышленников», отмечает Кирилл Солодовников. Таких инцидентов немного, подтверждает Денис Легезо. Причина в том, что атаки подобные той, что произошла на Passwordstate, трудозатратны и требуют длительной подготовки, объясняет эксперт центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая.
В Passwordstate могут храниться пароли от критичных корпоративных систем, а значит, если их вовремя не сменят, злоумышленники могут получить доступ к инфраструктурам организаций, предупреждает ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин. Он рекомендует использовать офлайновые менеджеры с открытым исходным кодом и периодически менять пароли.
Несмотря на недочеты, менеджеры паролей являются действенной мерой обеспечения цифровой безопасности как для предприятий, так и для частных пользователей, убежден исследователь компании ESET Амер Овайда: «Это более надежный и удобный вариант, чем попытки самостоятельно придумать и запомнить многочисленные пароли». Но, по мнению ведущего эксперта по информационной безопасности «Крок» Анастасии Федоровой, самую ценную информацию по цифровым активам следуют запоминать, не доверяя ни записным книгам, ни менеджерам паролей.
