قام مطورو مدير كلمات المرور LastPass ، الذي يستخدمه أكثر من 33 مليون شخص وأكثر من 100 شركة ، بإخطار المستخدمين بحادث تمكن فيه المهاجمون من الوصول إلى نسخ احتياطية من التخزين مع بيانات مستخدمي الخدمة. تضمنت البيانات معلومات مثل اسم المستخدم والعنوان والبريد الإلكتروني والهاتف وعناوين IP التي تم الوصول إلى الخدمة من خلالها ، بالإضافة إلى أسماء المواقع غير المشفرة المخزنة في مدير كلمات المرور وتسجيلات الدخول المشفرة وكلمات المرور وبيانات النموذج والملاحظات المخزنة في هذه المواقع.
لحماية عمليات تسجيل الدخول وكلمات المرور إلى المواقع ، تم استخدام تشفير AES مع مفتاح 256 بت تم إنشاؤه باستخدام وظيفة PBKDF2 استنادًا إلى كلمة مرور رئيسية معروفة للمستخدم فقط ، بحد أدنى للحجم يبلغ 12 حرفًا. يتم إجراء تشفير وفك تشفير عمليات تسجيل الدخول وكلمات المرور في LastPass فقط من جانب المستخدم ، ويعتبر تخمين كلمة المرور الرئيسية غير واقعي على الأجهزة الحديثة ، نظرًا لحجم كلمة المرور الرئيسية والعدد المطبق من تكرار PBKDF2.
لتنفيذ الهجوم ، استخدموا البيانات التي حصل عليها المهاجمون خلال الهجوم الأخير الذي وقع في أغسطس ونُفذ من خلال اختراق حساب أحد مطوري الخدمة. أدى الاختراق في أغسطس إلى وصول المهاجمين إلى بيئة التطوير ، ورمز التطبيق ، والمعلومات التقنية. اتضح لاحقًا أن المهاجمين استخدموا بيانات من بيئة التطوير لمهاجمة مطور آخر ، ونتيجة لذلك تمكنوا من الحصول على مفاتيح الوصول إلى التخزين السحابي ومفاتيح فك تشفير البيانات من الحاويات المخزنة هناك. استضافت الخوادم السحابية المخترقة نسخًا احتياطية كاملة من بيانات خدمة العامل.
المصدر: opennet.ru