Брешь FREAK: что Вам нужно знать.

Ранее на этой неделе, команда исследователей обнаружила большую брешь в безопасности, дублированную брешь FREAK, которая подвергает опасности защищенные веб-соединения и потенциально может раскрыть конфиденциальную информацию. Несмотря на то, что LastPass не был затронут этой уязвимостью, очень важно, чтобы пользователи LastPass обновили свои браузеры патчами, как только они будут доступны. Вот информация, которую Вам нужно знать:

Что такое брешь FREAK?

Брешь FREAK затрагивает SSL/TLS, протокол, который создает безопасное соединение между Вами и веб-сайтом. Безопасное соединение создается, когда Вы подключается через HTTPS и видите значок запертого замка в адресной строке Вашего браузера. Этот “замок” означает, что Ваши персональные данные шифруются при отправке на сайт.

Брешь FREAK, однако, может быть использована для атаки типа “человек посередине”. В соответствии с freakattack.com, “Она позволяет атакующему перехватить HTTPS соединения между уязвимыми клиентами [устройствами] и серверами и заставить их использовать ослабленное шифрование, которое атакующий может взломать, чтобы украсть или манипулировать конфиденциальными данными.”

Брешь FREAK затрагивает большинство основных браузеров:

  • Internet Explorer
  • Chrome на Android и Mac OS – Патч доступен для Mac OS
  • Safari на Mac OS и iOS – Патч ожидается на следующей неделе
  • Stock Android Browser
  • BlackBerry Browser
  • Opera (Mac OS, Linux)

Вы можете проверить, уязвимы ли Ваше устройство или браузер, посетив https://freakattack.com. Там также опубликован списокосновных доменов Alexa , которые были подвергнуты влиянию бреши FREAK.

Как это затрагивает LastPass?

Пользователи LastPass в безопасноти. Наши сервера не были затронуты брешью FREAK. Как всегда, Ваше хранилище LastPass находится в безопасноти, а Ваш мастер-пароль никогда не передается. LastPass также всегда шифрует данные локально с использованием AES-256 шифрования, прежде чем безопасно синхронизировать их. Уязвимости, вроде этой, – это именно те причины, по которым мы никогда не передаем Ваш мастер-пароль.

Для тех, кто использует встроенные браузеры в мобильных приложениях LastPass, они используют браузеры платформы по умолчанию, которые, как известно, были затронуты. Наши встроенные браузеры будут обновлены, как только эти платформы выпустят исправление. Тем временем, Вы можете безопасно пользоваться Firefox mobile.

Общение между самими нашими мобильными приложениями и нашими серверами не уязвимы, это означает, что невозможно перехватить данные Вашего хранилища, которые переходят от наших серверов и обратно на этих мобильных устройствах.

Действия, которые Вам следует предпринять:

Обновите, используя все патчи, как только они станут доступны. Microsoft, Apple, и Google выпустят патчи в течение следующих нескольких дней, поэтому очень важно обновить Вашу систему, когда эти патчи станут доступны.

Используйте Firefox для безопасного просмотра. Пока недоступны патчи для указанных выше уязвимых браузеров, возможно, Вы захотите использовать Firefox на iOS, Android, и Mac OS для безопасного просмотра веб-сайтов и подключения к Вашим онлайн аккаунтам.

Замените уязвимые пароли. Хотя Вы вряд ли были подвержены атаке, так как устройства и веб-сайты исправляются, тем не менее, это может быть хорошим поводом для изменения паролей любых аккаунтов, к которым Вы обращались с любого из Ваших устройств, отмеченных как уязвимые. Вы также можете использовать Проверку безопасности LastPass, для обзора надежности Ваших паролей. Наша функция Авто-изменение паролей также поможет автоматически заменить пароли. Очень важно использовать разный, надежный пароль на каждом веб-сайте, так что пароль, украденный с нашего веб-сайта, не может быть использован для авторизации на любом из Ваших других аккаунтов.

Как всегда, мы будем следить на ситуацией по мере ее прояснения и обновлять наше сообщество при необходимости.