Os desenvolvedores do xestor de contrasinais LastPass, que é usado por máis de 33 millóns de persoas e máis de 100 mil empresas, notificaron aos usuarios un incidente como resultado do cal os atacantes lograron acceder a copias de seguridade do almacenamento con datos dos usuarios do servizo. . Os datos incluían información como nome de usuario, enderezo, correo electrónico, teléfono e enderezos IP desde os que se iniciou sesión no servizo, así como nomes de sitios sen cifrar almacenados no xestor de contrasinais e inicios de sesión, contrasinais, datos de formularios e notas para estes sitios almacenados en cifrados. forma..
Para protexer os inicios de sesión e contrasinais dos sitios, utilizouse o cifrado AES cunha clave de 256 bits xerada mediante a función PBKDF2 baseada nun contrasinal mestre coñecido só polo usuario, de polo menos 12 caracteres. O cifrado e descifrado de inicios de sesión e contrasinais en LastPass realízase só polo usuario, e adiviñar o contrasinal principal considérase pouco realista no hardware moderno, dado o tamaño do contrasinal principal e o número de iteracións PBKDF2 utilizadas.
Para levar a cabo o ataque, utilizaron os datos obtidos polos atacantes durante un ataque anterior ocorrido en agosto e cometido mediante o compromiso da conta dun dos desenvolvedores do servizo. O corte de agosto provocou que os atacantes tivesen acceso ao contorno de desenvolvemento, ao código da aplicación e á información técnica. Máis tarde descubriuse que os atacantes utilizaron datos do contorno de desenvolvemento para atacar a outro desenvolvedor, polo que puideron obter claves de acceso ao almacenamento na nube e claves para descifrar os datos dos contedores alí almacenados. Os servidores de nube comprometidos aloxaban copias de seguridade completas dos datos do servizo de produción.
Fonte: opennet.ru