Les développeurs du gestionnaire de mots de passe LastPass, utilisé par plus de 33 millions de personnes et plus de 100 XNUMX entreprises, ont informé les utilisateurs d'un incident à la suite duquel les attaquants ont réussi à accéder aux copies de sauvegarde du stockage contenant les données des utilisateurs du service. . Les données comprenaient des informations telles que le nom d'utilisateur, l'adresse, l'e-mail, le téléphone et les adresses IP à partir desquelles le service a été connecté, ainsi que les noms de sites non cryptés stockés dans le gestionnaire de mots de passe et les identifiants, mots de passe, données de formulaire et notes pour ces sites stockés dans crypté. forme. .
Pour protéger les identifiants et les mots de passe des sites, le cryptage AES a été utilisé avec une clé de 256 bits générée à l'aide de la fonction PBKDF2 basée sur un mot de passe principal connu uniquement de l'utilisateur, d'une taille minimale de 12 caractères. Le cryptage et le déchiffrement des identifiants et des mots de passe dans LastPass sont effectués uniquement du côté de l'utilisateur, et deviner le mot de passe principal est considéré comme irréaliste sur le matériel moderne, compte tenu de la taille du mot de passe principal et du nombre d'itérations PBKDF2 utilisées.
Pour mener à bien l'attaque, ils ont utilisé des données obtenues par les attaquants lors d'une précédente attaque survenue en août et commise via la compromission du compte de l'un des développeurs du service. Le piratage du mois d'août a permis aux attaquants d'accéder à l'environnement de développement, au code de l'application et aux informations techniques. Il s'est avéré plus tard que les attaquants ont utilisé les données de l'environnement de développement pour attaquer un autre développeur, ce qui leur a permis d'obtenir des clés d'accès au stockage cloud et des clés pour déchiffrer les données des conteneurs qui y sont stockés. Les serveurs cloud compromis hébergeaient des sauvegardes complètes des données du service de production.
Source: opennet.ru