33 milioi pertsona baino gehiagok eta 100 enpresa baino gehiagok erabiltzen duten LastPass pasahitz-kudeatzailearen garatzaileek erabiltzaileei jakinarazi zieten erasotzaileek zerbitzuaren erabiltzaileen datuekin biltegiaren babeskopiak eskuratzea lortu zuten gertakari baten berri. Datuek zerbitzura atzitu zuten erabiltzaile-izena, helbidea, posta elektronikoa, telefonoa eta IP helbideak bezalako informazioa barne hartzen zuten, baita pasahitz-kudeatzailean gordetako gune-izenak zifratu gabekoak eta gune horietan gordetako saio-hasiera, pasahitzak, inprimaki-datuak eta oharrak enkriptatutakoak ere. .
Guneetako saioak eta pasahitzak babesteko, AES enkriptatzea PBKDF256 funtzioa erabiliz sortutako 2 biteko gako batekin erabili zen, erabiltzaileak bakarrik ezagutzen duen pasahitz nagusi batean oinarrituta, 12 karaktereko gutxieneko tamainarekin. LastPass-en saio-hasiera eta pasahitzen enkriptatzea eta deszifratzea erabiltzailearen aldetik bakarrik egiten da, eta pasahitz nagusiak asmatzea errealistatzat jotzen da hardware modernoan, pasahitz nagusiaren tamaina eta PBKDF2 iterazioen kopurua aplikatuta.
Erasoa egiteko, erasotzaileek abuztuan gertatutako azken erasoan lortutako datuak erabili dituzte eta zerbitzuaren garatzaileetako baten kontuaren konpromezuaren bidez gauzatu da. Abuztuko hack-aren ondorioz, erasotzaileek garapen-ingurunerako, aplikazio-koderako eta informazio teknikorako sarbidea lortu zuten. Geroago, erasotzaileek garapen-inguruneko datuak erabiltzen zituztela beste garatzaile bati erasotzeko, ondorioz, hodeiko biltegirako sarbide-gakoak eta bertan gordetako edukiontzietako datuak deszifratzeko gakoak eskuratzea lortu zuten. Konprometitutako hodeiko zerbitzariek langileen zerbitzuaren datuen babeskopia osoa zuten.
Iturria: opennet.ru