Vývojáři správce hesel LastPass, který používá více než 33 milionů lidí a více než 100 tisíc společností, upozornili uživatele na incident, v jehož důsledku se útočníkům podařilo získat přístup k záložním kopiím úložiště s daty uživatelů služby. . Data zahrnovala informace, jako je uživatelské jméno, adresa, e-mail, telefon a IP adresy, ze kterých byla služba přihlášena, stejně jako nešifrované názvy stránek uložené ve správci hesel a přihlašovací údaje, hesla, data formulářů a poznámky k těmto stránkám uložené v šifrovaném formulář..
K ochraně přihlašovacích údajů a hesel pro stránky bylo použito šifrování AES s 256bitovým klíčem vygenerovaným pomocí funkce PBKDF2 na základě hlavního hesla známého pouze uživateli, o minimální velikosti 12 znaků. Šifrování a dešifrování přihlašovacích údajů a hesel v LastPass probíhá pouze na straně uživatele a uhodnutí hlavního hesla je na moderním hardwaru považováno za nereálné vzhledem k velikosti hlavního hesla a počtu použitých iterací PBKDF2.
Útok využil data získaná útočníky během předchozího útoku v srpnu, který zahrnoval kompromitaci účtu jednoho z vývojářů služby. Srpnový hackerský útok vedl k tomu, že útočníci získali přístup k vývojovému prostředí, kódu aplikace a technickým informacím. Později se ukázalo, že útočníci použili data z vývojového prostředí k útoku na jiného vývojáře, což vedlo k získání přístupových klíčů ke cloudovému úložišti a dešifrovacích klíčů pro kontejnery, které jsou zde uloženy. Napadené cloudové služby servery Byly umístěny úplné záložní kopie funkčních servisních dat.
Zdroj: opennet.ru
