Die Entwickler des LastPass-Passwortmanagers, der von mehr als 33 Millionen Menschen und mehr als 100 Unternehmen genutzt wird, haben Benutzer über einen Vorfall informiert, bei dem es Angreifern gelang, Zugriff auf Sicherungskopien des Speichers mit den Daten von Benutzern des Dienstes zu erhalten . Zu den Daten gehörten Informationen wie Benutzername, Adresse, E-Mail-, Telefon- und IP-Adresse, von der aus auf den Dienst zugegriffen wurde, sowie unverschlüsselte Site-Namen, die im Passwort-Manager gespeichert sind, und verschlüsselte Logins, Passwörter, Formulardaten und Notizen, die auf diesen Sites gespeichert sind.
Um Logins und Passwörter für Websites zu schützen, wurde die AES-Verschlüsselung mit einem 256-Bit-Schlüssel verwendet, der mithilfe der PBKDF2-Funktion basierend auf einem nur dem Benutzer bekannten Master-Passwort mit einer Mindestgröße von 12 Zeichen generiert wurde. Die Verschlüsselung und Entschlüsselung von Logins und Passwörtern erfolgt in LastPass nur auf der Benutzerseite, und das Erraten des Master-Passworts gilt auf moderner Hardware angesichts der Größe des Master-Passworts und der angewandten Anzahl von PBKDF2-Iterationen als unrealistisch.
Zur Durchführung des Angriffs nutzten sie Daten, die die Angreifer während des letzten Angriffs im August erhalten hatten, der durch die Kompromittierung des Kontos eines der Entwickler des Dienstes durchgeführt wurde. Der Hack im August führte dazu, dass Angreifer Zugriff auf die Entwicklungsumgebung, den Anwendungscode und technische Informationen erhielten. Später stellte sich heraus, dass die Angreifer Daten aus der Entwicklungsumgebung nutzten, um einen anderen Entwickler anzugreifen, wodurch es ihnen gelang, Zugangsschlüssel zum Cloud-Speicher und Schlüssel zum Entschlüsseln von Daten aus den dort gespeicherten Containern zu erhalten. Die kompromittierten Cloud-Server hosteten vollständige Backups der Worker-Dienstdaten.
Source: opennet.ru