Распрацоўнікі мэнэджара пароляў LastPass, якім карыстаецца больш 33 млн чалавек і больш 100 тысяч кампаній, апавясцілі карыстачоў аб інцыдэнце, у выніку якога атакавалым атрымалася атрымаць доступ да рэзервовых копій сховішчы з дадзенымі карыстачоў сэрвісу. Дадзеныя ўключалі такія звесткі, як імя карыстальніка, адрас, email, тэлефон і IP-адрасы з якіх быў уваход у сэрвіс, а таксама захаваныя ў менеджэры пароляў незашыфраваныя імёны сайтаў і захаваныя ў зашыфраваным выглядзе лагіны, паролі, дадзеныя формаў і нататкі да гэтых сайтаў. .
Для абароны лагінаў і пароляў да сайтаў выкарыстоўвалася шыфраванне AES з 256-разрадным ключом, генераваным з выкарыстаннем функцыі PBKDF2 на аснове вядомага толькі карыстачу майстар-пароля, памерам мінімум 12 знакаў. Шыфраванне і расшыфроўка лагінаў і пароляў у LastPass ажыццяўляецца толькі на баку карыстача, а падбор майстар-пароля разглядаецца як нерэалістычны на сучасным абсталяванні, улічваючы памер майстар-пароля і ўжыты лік ітэрацый PBKDF2.
Для здзяйснення нападу выкарыстоўваліся дадзеныя, атрыманыя атакавалымі падчас мінулай атакі, якая адбылася ў жніўні і здзейсненай праз кампраметацыю ўліковага запісу аднаго з распрацоўнікаў сэрвісу. Аўгустоўскі ўзлом прывёў да траплення ў рукі зламыснікаў доступу да акружэння для распрацоўкі, коду дадатку і тэхнічнай інфармацыі. Пазней высветлілася, што атакавалыя скарысталіся дадзенымі з асяроддзя для распрацоўкі для нападу на іншага распрацоўніка, у выніку якой атрымалася атрымаць ключы доступу да хмарнага сховішча і ключы для расшыфроўкі дадзеных з кантэйнераў, якія там захоўваюцца. На скампраметаваных хмарных серверах размяшчаліся поўныя рэзервовыя копіі дадзеных працоўнага сэрвісу.
Крыніца: opennet.ru