La programistoj de la pasvortmanaĝero LastPass, kiu estas uzata de pli ol 33 milionoj da homoj kaj pli ol 100 kompanioj, sciigis uzantojn pri okazaĵo, en kiu atakantoj sukcesis akiri aliron al rezervaj kopioj de la stokado kun la datumoj de uzantoj de la servo. La datumoj inkludis informojn kiel uzantnomo, adreso, retpoŝto, telefono kaj IP-adresoj de kiuj la servo estis alirita, same kiel neĉifritaj retejo-nomoj stokitaj en la pasvortmanaĝero kaj ĉifritaj ensalutoj, pasvortoj, formularaj datumoj kaj notoj stokitaj en ĉi tiuj retejoj. .
Por protekti ensalutojn kaj pasvortojn al retejoj, AES-ĉifrado estis uzita kun 256-bita ŝlosilo generita uzante la PBKDF2-funkcion bazitan sur majstra pasvorto konata nur al la uzanto, kun minimuma grandeco de 12 karakteroj. Ĉifrado kaj malĉifrado de ensalutoj kaj pasvortoj en LastPass estas faritaj nur ĉe la uzanto-flanko, kaj majstra pasvorta divenado estas konsiderata nerealisma ĉe moderna aparataro, konsiderante la grandecon de la majstra pasvorto kaj la aplikata nombro da ripetoj de PBKDF2.
Por efektivigi la atakon, ili uzis datumojn akiritajn de la atakantoj dum la lasta atako, kiu okazis en aŭgusto kaj estis efektivigita per la kompromiso de la konto de unu el la programistoj de la servo. La aŭgusta hako rezultigis atakantojn akiri aliron al la evolumedio, aplika kodo kaj teknikaj informoj. Poste montriĝis, ke la atakantoj uzis datumojn de la evolumedio por ataki alian programiston, sekve de tio ili sukcesis akiri alirŝlosilojn al la nuba stokado kaj ŝlosilojn por deĉifri datumojn de la ujoj tie stokitaj. La kompromititaj nubaj serviloj gastigis plenajn sekurkopiojn de la laborservaj datumoj.
fonto: opennet.ru