ከ33 ሚሊዮን በላይ ሰዎች እና ከ100 በላይ ኩባንያዎች የሚጠቀሙበት የ LastPass የይለፍ ቃል ማኔጀር ገንቢዎች አጥቂዎች የማከማቻውን ምትኬ ቅጂዎች በአገልግሎቱ ተጠቃሚዎች መረጃ ማግኘት የቻሉበትን ክስተት ለተጠቃሚዎች አሳውቀዋል። . መረጃው አገልግሎቱ የተገኘባቸው እንደ የተጠቃሚ ስም፣ አድራሻ፣ ኢሜል፣ ስልክ እና አይፒ አድራሻዎች እንዲሁም በይለፍ ቃል አስተዳዳሪ ውስጥ የተቀመጡ ያልተመሰጠሩ የጣቢያ ስሞች እና የተመሰጠሩ መግባቶች፣ የይለፍ ቃሎች፣ የቅጽ ዳታ እና በእነዚህ ድረ-ገጾች ውስጥ የተከማቹ ማስታወሻዎች ይገኙበታል።
የድረ-ገጾችን መግቢያ እና የይለፍ ቃሎችን ለመጠበቅ AES ምስጠራ በ256-ቢት ቁልፍ የ PBKDF2 ተግባርን በመጠቀም ለተጠቃሚው ብቻ በሚታወቅ ዋና የይለፍ ቃል ላይ የተመሰረተ ሲሆን በትንሹ 12 ቁምፊዎች ጥቅም ላይ ውሏል። በ LastPass ውስጥ የመግቢያ እና የይለፍ ቃሎችን ምስጠራ እና መፍታት የሚከናወነው በተጠቃሚው በኩል ብቻ ነው ፣ እና ዋና የይለፍ ቃል መገመት በዘመናዊ ሃርድዌር ላይ ከእውነታው የራቀ ነው ተብሎ የሚታሰበው ከዋናው የይለፍ ቃል መጠን እና ከተተገበረው የPBKDF2 ተደጋጋሚነት አንፃር ነው።
ጥቃቱን ለመፈጸም በነሀሴ ወር በተፈጸመው የመጨረሻ ጥቃት በአጥቂዎቹ የተገኙ መረጃዎችን ተጠቅመዋል እና የተፈፀመው በአንዱ የአገልግሎቱ ገንቢ አካውንት ስምምነት ነው። የኦገስት ጠለፋ አጥቂዎች የእድገት አካባቢን፣ የመተግበሪያ ኮድን እና ቴክኒካል መረጃዎችን እንዲያገኙ አድርጓል። በኋላም አጥቂዎቹ ከልማት አካባቢ የተገኘውን መረጃ ተጠቅመው ሌላውን ገንቢ በማጥቃት የደመና ማከማቻውን የመዳረሻ ቁልፎችን እና እዚያ ከተከማቹት ኮንቴይነሮች መረጃ ዲክሪፕት ለማድረግ ቁልፎችን ማግኘት ችለዋል። የተጠለፉት የደመና አገልጋዮች የሰራተኛ አገልግሎት ውሂብ ሙሉ ምትኬዎችን አስተናግደዋል።
ምንጭ: opennet.ru