Vývojáři správce hesel LastPass, který používá více než 33 milionů lidí a více než 100 tisíc společností, upozornili uživatele na incident, v jehož důsledku se útočníkům podařilo získat přístup k záložním kopiím úložiště s daty uživatelů služby. . Data zahrnovala informace, jako je uživatelské jméno, adresa, e-mail, telefon a IP adresy, ze kterých byla služba přihlášena, stejně jako nešifrované názvy stránek uložené ve správci hesel a přihlašovací údaje, hesla, data formulářů a poznámky k těmto stránkám uložené v šifrovaném formulář..
K ochraně přihlašovacích údajů a hesel pro stránky bylo použito šifrování AES s 256bitovým klíčem vygenerovaným pomocí funkce PBKDF2 na základě hlavního hesla známého pouze uživateli, o minimální velikosti 12 znaků. Šifrování a dešifrování přihlašovacích údajů a hesel v LastPass probíhá pouze na straně uživatele a uhodnutí hlavního hesla je na moderním hardwaru považováno za nereálné vzhledem k velikosti hlavního hesla a počtu použitých iterací PBKDF2.
K provedení útoku použili data získaná útočníky při předchozím útoku, ke kterému došlo v srpnu a byl spáchán prostřednictvím kompromitace účtu jednoho z vývojářů služby. Srpnový hack měl za následek, že útočníci získali přístup k vývojovému prostředí, aplikačnímu kódu a technickým informacím. Později se ukázalo, že útočníci použili data z vývojového prostředí k útoku na jiného vývojáře, v důsledku čehož se jim podařilo získat přístupové klíče ke cloudovému úložišti a klíče k dešifrování dat z tam uložených kontejnerů. Napadené cloudové servery hostovaly úplné zálohy dat produkčních služeb.
Zdroj: opennet.ru