Οι προγραμματιστές του διαχειριστή κωδικών πρόσβασης LastPass, που χρησιμοποιείται από περισσότερα από 33 εκατομμύρια άτομα και περισσότερες από 100 εταιρείες, ειδοποίησαν τους χρήστες για ένα περιστατικό στο οποίο οι εισβολείς κατάφεραν να αποκτήσουν πρόσβαση σε αντίγραφα ασφαλείας του χώρου αποθήκευσης με τα δεδομένα των χρηστών της υπηρεσίας. Τα δεδομένα περιελάμβαναν πληροφορίες όπως όνομα χρήστη, διεύθυνση, email, τηλέφωνο και διευθύνσεις IP από τις οποίες έγινε πρόσβαση στην υπηρεσία, καθώς και μη κρυπτογραφημένα ονόματα τοποθεσιών που ήταν αποθηκευμένα στη διαχείριση κωδικών πρόσβασης και κρυπτογραφημένες συνδέσεις, κωδικοί πρόσβασης, δεδομένα φόρμας και σημειώσεις που αποθηκεύτηκαν σε αυτούς τους ιστότοπους.
Για την προστασία των στοιχείων σύνδεσης και των κωδικών πρόσβασης σε ιστότοπους, χρησιμοποιήθηκε κρυπτογράφηση AES με ένα κλειδί 256 bit που δημιουργήθηκε χρησιμοποιώντας τη λειτουργία PBKDF2 με βάση έναν κύριο κωδικό πρόσβασης που είναι γνωστός μόνο στον χρήστη, με ελάχιστο μέγεθος 12 χαρακτήρων. Η κρυπτογράφηση και η αποκρυπτογράφηση των στοιχείων σύνδεσης και των κωδικών πρόσβασης στο LastPass εκτελείται μόνο από την πλευρά του χρήστη και η εικασία του κύριου κωδικού πρόσβασης θεωρείται μη ρεαλιστική στο σύγχρονο υλικό, δεδομένου του μεγέθους του κύριου κωδικού πρόσβασης και του εφαρμοζόμενου αριθμού επαναλήψεων PBKDF2.
Για να πραγματοποιήσουν την επίθεση, χρησιμοποίησαν δεδομένα που έλαβαν οι επιτιθέμενοι κατά την τελευταία επίθεση που σημειώθηκε τον Αύγουστο και πραγματοποιήθηκε μέσω της παραβίασης του λογαριασμού ενός από τους προγραμματιστές της υπηρεσίας. Το χακάρισμα του Αυγούστου είχε ως αποτέλεσμα οι εισβολείς να αποκτήσουν πρόσβαση στο περιβάλλον ανάπτυξης, τον κώδικα εφαρμογής και τις τεχνικές πληροφορίες. Αργότερα αποδείχθηκε ότι οι εισβολείς χρησιμοποίησαν δεδομένα από το περιβάλλον ανάπτυξης για να επιτεθούν σε άλλον προγραμματιστή, με αποτέλεσμα να αποκτήσουν κλειδιά πρόσβασης στο χώρο αποθήκευσης cloud και κλειδιά για την αποκρυπτογράφηση δεδομένων από τα κοντέινερ που ήταν αποθηκευμένα εκεί. Οι παραβιασμένοι διακομιστές cloud φιλοξενούσαν πλήρη αντίγραφα ασφαλείας των δεδομένων της υπηρεσίας εργαζομένων.
Πηγή: opennet.ru