Die ontwikkelaars van die LastPass-wagwoordbestuurder, wat deur meer as 33 miljoen mense en meer as 100 XNUMX maatskappye gebruik word, het gebruikers in kennis gestel van 'n voorval waarin aanvallers daarin geslaag het om toegang te verkry tot rugsteunkopieë van die berging met die data van gebruikers van die diens . Die data het inligting ingesluit soos gebruikersnaam, adres, e-pos, telefoon- en IP-adresse waarvandaan toegang tot die diens verkry is, sowel as ongeënkripteerde werfname wat in die wagwoordbestuurder gestoor is en geënkripteerde aanmeldings, wagwoorde, vormdata en notas wat op hierdie werwe gestoor is. .
Om aanmeldings en wagwoorde vir webwerwe te beskerm, is AES-enkripsie gebruik met 'n 256-bis-sleutel wat gegenereer is met die PBKDF2-funksie gebaseer op 'n hoofwagwoord wat slegs aan die gebruiker bekend is, met 'n minimum grootte van 12 karakters. Enkripsie en dekripsie van aanmeldings en wagwoorde in LastPass word slegs aan die gebruikerskant uitgevoer, en die raai van hoofwagwoorde word as onrealisties beskou op moderne hardeware, gegewe die grootte van die hoofwagwoord en die toegepaste aantal PBKDF2-iterasies.
Om die aanval uit te voer, het hulle data gebruik wat deur die aanvallers verkry is tydens die laaste aanval wat in Augustus plaasgevind het en is uitgevoer deur die kompromie van die rekening van een van die ontwikkelaars van die diens. Die Augustus-hack het daartoe gelei dat aanvallers toegang verkry het tot die ontwikkelingsomgewing, toepassingskode en tegniese inligting. Later het dit geblyk dat die aanvallers data van die ontwikkelingsomgewing gebruik het om 'n ander ontwikkelaar aan te val, waardeur hulle daarin geslaag het om toegangssleutels tot die wolkberging te bekom en sleutels om data te dekripteer van die houers wat daar gestoor is. Die gekompromitteerde wolkbedieners het volledige rugsteun van die werkerdiensdata gehuisves.
Bron: opennet.ru