Programeri LastPass menadžera lozinki, koji koristi više od 33 miliona ljudi i više od 100 kompanija, obavestili su korisnike o incidentu u kojem su napadači uspeli da dobiju pristup rezervnim kopijama skladišta sa podacima korisnika servisa. . Podaci su uključivali informacije kao što su korisničko ime, adresa, e-mail, telefon i IP adrese sa kojih se pristupilo servisu, kao i nešifrovana imena sajtova pohranjena u menadžeru lozinki i šifrovane prijave, lozinke, podaci obrasca i bilješke pohranjene na ovim stranicama.
Za zaštitu prijava i lozinki za web stranice, korištena je AES enkripcija sa 256-bitnim ključem generiranim korištenjem funkcije PBKDF2 na temelju glavne lozinke poznate samo korisniku, s minimalnom veličinom od 12 znakova. Šifrovanje i dešifrovanje prijava i lozinki u LastPass-u se vrši samo na strani korisnika, a pogađanje glavne lozinke se smatra nerealnim na modernom hardveru, s obzirom na veličinu glavne lozinke i primenjeni broj PBKDF2 iteracija.
Za izvođenje napada koristili su podatke do kojih su napadači došli tokom posljednjeg napada koji se dogodio u avgustu i koji je izveden kompromitacijom računa jednog od programera servisa. Avgustovski hak je rezultirao time da su napadači dobili pristup razvojnom okruženju, kodu aplikacije i tehničkim informacijama. Kasnije se ispostavilo da su napadači koristili podatke iz razvojnog okruženja kako bi napali drugog programera, zbog čega su uspjeli dobiti pristupne ključeve cloud storage-u i ključeve za dešifriranje podataka iz kontejnera koji su tamo pohranjeni. Kompromitovani serveri u oblaku su ugostili potpune rezervne kopije podataka servisa radnika.
izvor: opennet.ru