Die Entwickler des Passwortmanagers LastPass, der von über 33 Millionen Menschen und mehr als 100.000 Unternehmen verwendet wird, haben die Benutzer über einen Vorfall informiert, bei dem Angreifern der Zugriff auf Sicherungskopien des Benutzerdatenlagers des Dienstes gelungen ist. Die Daten umfassten Informationen wie Benutzernamen, Adresse, E-Mail, Telefonnummer sowie IP-Adressen, von denen aus auf den Dienst zugegriffen wurde, und zudem die unverschlüsselten Webseiten-Namen, die im Passwortmanager gespeichert waren, sowie die in verschlüsselter Form gespeicherten Login-Daten, Passwörter, Formulardaten und Anmerkungen zu diesen Webseiten.
Zum Schutz von Logins und Passwörtern wurde AES-Verschlüsselung mit einem 256-Bit-Schlüssel verwendet, der mit der einzigen dem Benutzer bekannten PBKDF2-Funktion basierend auf dem Master-Passwort, das mindestens 12 Zeichen lang sein muss, generiert wurde. Die Verschlüsselung und Entschlüsselung von Logins und Passwörtern in LastPass erfolgt ausschließlich auf der Seite des Benutzers, und das Knacken des Master-Passworts wird auf modernen Geräten als unrealistisch angesehen, insbesondere aufgrund der Länge des Master-Passworts und der Anzahl der angewendeten PBKDF2-Iterationen.
Für den Angriff wurden Daten verwendet, die die Angreifer während eines früheren Angriffs im August erlangten, der durch die Kompromittierung eines Accounts eines der Entwickler des Dienstes erfolgte. Der August-Hack führte dazu, dass die Angreifer Zugriff auf die Entwicklungsumgebung, den App-Code und technische Informationen erhielten. Später stellte sich heraus, dass die Angreifer die Daten aus der Entwicklungsumgebung nutzten, um einen anderen Entwickler zu attackieren, wodurch sie Zugangsschlüssel zu einem Cloud-Speicher sowie Entschlüsselungsschlüssel für die dort gespeicherten Container erlangten. In den kompromittierten Clouds Servern wurden vollständige Sicherungskopien der Daten des aktiven Dienstes abgelegt.
Quelle: opennet.ru
