Взлом LastPass 2022 года: что было украдено, что это значит и как мигрировать
В августе / ноябре 2022 года злоумышленники похитили облачные резервные копии LastPass, включая зашифрованные хранилища пользователей плюс незашифрованные метаданные. Вот что задокументировано и что делать сейчас, если у вас всё ещё есть учётная запись LastPass.
Задокументированная хронология
Согласно опубликованным уведомлениям LastPass об инциденте: в августе 2022 года злоумышленники скомпрометировали машину одного из разработчиков LastPass и получили доступ к исходному коду. В ноябре 2022 года злоумышленники использовали учётные данные из августовского инцидента для доступа к облачным резервным копиям в стороннем облачном хранилище LastPass. Эти резервные копии содержали зашифрованные хранилища клиентов плюс незашифрованные метаданные — URL хранилищ, адреса электронной почты учётных записей, платёжную информацию. LastPass раскрыл факт кражи данных 22 декабря 2022 года (blog.lastpass.com/posts/notice-of-recent-security-incident).
Что на самом деле защищает шифрование
Хранилища LastPass зашифрованы AES-256, ключ выводится из мастер-пароля через PBKDF2. Стойкость защиты зависит от (а) энтропии мастер-пароля и (б) числа итераций PBKDF2. Число итераций PBKDF2 по умолчанию в LastPass составляло 5 000 для старых учётных записей, прежде чем было увеличено до 100 100 в 2018 году. Учётные записи, созданные до 2018 года, могут по-прежнему иметь низкое число итераций, если пользователь не обновил его вручную — уведомления LastPass об инциденте это документируют. Слабый мастер-пароль с низким числом итераций поддаётся офлайн-перебору; сильный мастер-пароль со 100 100+ итерациями — нет, на текущем оборудовании.
Что делать, если у вас есть или была учётная запись LastPass
Шаг 1: Экспортируйте своё хранилище LastPass из веб-консоли (Settings → Advanced Options → Export). Шаг 2: Импортируйте в Bitwarden или 1Password (у обоих есть прямые импортеры LastPass, задокументированные на bitwarden.com/help/import-from-lastpass и 1password.com/help). Шаг 3: Смените пароли на любой учётной записи с высокой ценой раскрытия — финансовой, почтовой, основной в соцсетях. Шаг 4: Включите 2FA на любой учётной записи, которая её поддерживает. Шаг 5: Удалите учётную запись LastPass из веб-консоли. Если ваш мастер-пароль был сильным (12+ случайных символов или парольная фраза из 6+ слов), зашифрованное хранилище вычислительно безопасно; смена паролей — мера предосторожности. Если ваш мастер-пароль был слабым, считайте ценные учётные записи скомпрометированными.
Почему взлом затронул всю категорию менеджеров паролей, а не только LastPass
Взлом LastPass побудил исследователей безопасности внимательнее присмотреться к архитектурным решениям во всей категории. Два конкретных вывода: (1) Число итераций шифрования не все равнозначны — разница между 5 000 и 100 100 итерациями PBKDF2 велика. Argon2id (современная KDF, используемая Bitwarden и другими) снова существенно сильнее. (2) Раскрытие метаданных (URL учётных записей, адреса электронной почты) — реальный ущерб приватности, даже когда содержимое хранилищ остаётся зашифрованным, потому что метаданные помогают злоумышленнику расставить приоритеты целей. Современные проаудированные менеджеры ограничивают метаданные в слое данных при хранении.
Источники
Официальные уведомления LastPass об инциденте: blog.lastpass.com/posts/notice-of-recent-security-incident. Импортер LastPass в Bitwarden: bitwarden.com/help/import-from-lastpass. Справка 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Все URL открыты 2026-04-30.