Mae datblygwyr rheolwr cyfrinair LastPass, a ddefnyddir gan fwy na 33 miliwn o bobl a mwy na 100 o gwmnïau, wedi hysbysu defnyddwyr am ddigwyddiad lle llwyddodd ymosodwyr i gael mynediad at gopïau wrth gefn o'r storfa gyda data defnyddwyr y gwasanaeth . Roedd y data'n cynnwys gwybodaeth fel enw defnyddiwr, cyfeiriad, e-bost, ffôn a chyfeiriadau IP y cyrchwyd y gwasanaeth ohonynt, yn ogystal ag enwau gwefannau heb eu hamgryptio a storiwyd yn y rheolwr cyfrinair a mewngofnodi wedi'i amgryptio, cyfrineiriau, data ffurflen a nodiadau a storiwyd yn y gwefannau hyn.
Er mwyn diogelu mewngofnodi a chyfrineiriau i wefannau, defnyddiwyd amgryptio AES gydag allwedd 256-bit a gynhyrchwyd gan ddefnyddio'r swyddogaeth PBKDF2 yn seiliedig ar brif gyfrinair sy'n hysbys i'r defnyddiwr yn unig, gydag isafswm maint o 12 nod. Mae amgryptio a dadgryptio mewngofnodi a chyfrineiriau yn LastPass yn cael ei berfformio ar ochr y defnyddiwr yn unig, ac ystyrir bod dyfalu prif gyfrinair yn afrealistig ar galedwedd modern, o ystyried maint y prif gyfrinair a'r nifer cymhwysol o iteriadau PBKDF2.
I gyflawni'r ymosodiad, fe wnaethant ddefnyddio data a gafwyd gan yr ymosodwyr yn ystod yr ymosodiad diwethaf a ddigwyddodd ym mis Awst ac fe'i cynhaliwyd trwy gyfaddawd cyfrif un o ddatblygwyr y gwasanaeth. Arweiniodd hac Awst at ymosodwyr yn cael mynediad i'r amgylchedd datblygu, cod cais, a gwybodaeth dechnegol. Yn ddiweddarach daeth i'r amlwg bod yr ymosodwyr wedi defnyddio data o'r amgylchedd datblygu i ymosod ar ddatblygwr arall, ac o ganlyniad llwyddasant i gael allweddi mynediad i'r storfa cwmwl ac allweddi i ddadgryptio data o'r cynwysyddion sydd wedi'u storio yno. Roedd y gweinyddwyr cwmwl dan fygythiad yn cynnal copïau wrth gefn llawn o ddata gwasanaeth y gweithwyr.
Ffynhonnell: opennet.ru