Los desarrolladores del administrador de contraseñas LastPass, que utilizan más de 33 millones de personas y más de 100 mil empresas, notificaron a los usuarios sobre un incidente a raíz del cual los atacantes lograron acceder a copias de seguridad del almacenamiento con datos de los usuarios del servicio. . Los datos incluían información como nombre de usuario, dirección, correo electrónico, teléfono y direcciones IP desde las que se inició sesión en el servicio, así como nombres de sitios no cifrados almacenados en el administrador de contraseñas e inicios de sesión, contraseñas, datos de formularios y notas para estos sitios almacenados en archivos cifrados. forma. .
Para proteger los inicios de sesión y las contraseñas de los sitios, se utilizó cifrado AES con una clave de 256 bits generada mediante la función PBKDF2 basada en una contraseña maestra conocida solo por el usuario, con un tamaño mínimo de 12 caracteres. El cifrado y descifrado de inicios de sesión y contraseñas en LastPass se lleva a cabo solo por parte del usuario, y adivinar la contraseña maestra se considera poco realista en el hardware moderno, dado el tamaño de la contraseña maestra y la cantidad de iteraciones de PBKDF2 utilizadas.
Para llevar a cabo el ataque utilizaron datos obtenidos por los atacantes durante un ataque anterior ocurrido en agosto y que se cometió mediante el compromiso de la cuenta de uno de los desarrolladores del servicio. El hack de agosto dio como resultado que los atacantes obtuvieran acceso al entorno de desarrollo, al código de la aplicación y a la información técnica. Más tarde resultó que los atacantes utilizaron datos del entorno de desarrollo para atacar a otro desarrollador, como resultado de lo cual pudieron obtener claves de acceso al almacenamiento en la nube y claves para descifrar datos de los contenedores almacenados allí. Los servidores en la nube comprometidos albergaban copias de seguridad completas de los datos del servicio de producción.
Fuente: opennet.ru