Udviklerne af adgangskodeadministratoren LastPass, som bruges af mere end 33 millioner mennesker og mere end 100 tusinde virksomheder, underrettede brugere om en hændelse, som resulterede i, at angribere formåede at få adgang til sikkerhedskopier af lageret med data fra tjenestebrugere . Dataene omfattede oplysninger såsom brugernavn, adresse, e-mail, telefon og IP-adresser, hvorfra tjenesten var logget ind, samt ukrypterede webstedsnavne gemt i adgangskodeadministratoren og logins, adgangskoder, formulardata og noter til disse websteder gemt i krypteret form..
For at beskytte logins og adgangskoder til websteder blev AES-kryptering brugt med en 256-bit nøgle genereret ved hjælp af PBKDF2-funktionen baseret på en hovedadgangskode, som kun er kendt af brugeren, med en minimumstørrelse på 12 tegn. Kryptering og dekryptering af logins og adgangskoder i LastPass udføres kun på brugerens side, og at gætte hovedadgangskoden anses for at være urealistisk på moderne hardware i betragtning af størrelsen af hovedadgangskoden og antallet af PBKDF2-iterationer, der anvendes.
For at udføre angrebet brugte de data, der var indhentet af angriberne under et tidligere angreb, der fandt sted i august og blev begået gennem kompromittering af kontoen til en af tjenesteudviklerne. August-hacket resulterede i, at angribere fik adgang til udviklingsmiljøet, applikationskoden og teknisk information. Det viste sig senere, at angriberne brugte data fra udviklingsmiljøet til at angribe en anden udvikler, hvilket resulterede i, at de kunne få adgangsnøgler til skylageret og nøgler til at dekryptere data fra de containere, der var gemt der. De kompromitterede cloud-servere var vært for fuld sikkerhedskopiering af produktionstjenestedataene.
Kilde: opennet.ru