Tá forbróirí an bhainisteora pasfhocal LastPass, a úsáideann níos mó ná 33 milliún duine agus níos mó ná 100 cuideachta, tar éis úsáideoirí a chur ar an eolas faoi eachtra inar éirigh le hionsaitheoirí rochtain a fháil ar chóipeanna cúltaca den stóráil le sonraí úsáideoirí na seirbhíse. . Áiríodh leis na sonraí faisnéis amhail ainm úsáideora, seoladh, ríomhphoist, seoltaí gutháin agus IP óna bhfuarthas an tseirbhís, chomh maith le hainmneacha suímh neamhchriptithe a stóráiltear sa bhainisteoir pasfhocail agus logáil isteach criptithe, pasfhocail, sonraí foirme agus nótaí atá stóráilte sna suíomhanna seo.
Chun logáil isteach agus pasfhocail do shuíomhanna a chosaint, baineadh úsáid as criptiú AES le heochair 256-giotán a ghintear ag baint úsáide as an bhfeidhm PBKDF2 bunaithe ar mháistirfhocal faire nach raibh ar eolas ach ag an úsáideoir, le híosmhéid 12 charachtar. Ní dhéantar criptiú agus díchriptiú logáil isteach agus pasfhocail i LastPass ach ar thaobh an úsáideora, agus meastar go bhfuil buille faoi thuairim an mháistirfhocail neamhréadúil ar chrua-earraí nua-aimseartha, i bhfianaise mhéid an mháistirfhocail agus líon fheidhmithe na n-atriallta PBKDF2.
Chun an t-ionsaí a dhéanamh, d'úsáid siad sonraí a fuair na hionsaitheoirí le linn an ionsaí deiridh a tharla i mí Lúnasa agus rinneadh é trí chomhréiteach chuntas ceann d'fhorbróirí na seirbhíse. Mar thoradh ar hack Lúnasa fuair ionsaitheoirí rochtain ar an timpeallacht forbartha, ar an gcód feidhmchláir agus ar fhaisnéis theicniúil. Níos déanaí d'éirigh sé amach gur úsáid na hionsaitheoirí sonraí ón timpeallacht forbartha chun forbróir eile a ionsaí, agus mar thoradh air sin d'éirigh leo eochracha rochtana a fháil ar an stóráil scamall agus eochracha chun sonraí a dhíchriptiú ó na coimeádáin atá stóráilte ann. D'óstáil na freastalaithe néil chontúirte cúltacaí iomlána de shonraí na seirbhíse oibrithe.
Foinse: oscailtenet.ru