Programeri upravitelja lozinkama LastPass, koji koristi više od 33 milijuna ljudi i više od 100 tisuća tvrtki, obavijestili su korisnike o incidentu zbog kojeg su napadači uspjeli dobiti pristup sigurnosnim kopijama pohrane podataka korisnika usluga . Podaci su uključivali informacije kao što su korisničko ime, adresa, e-pošta, telefon i IP adresa s kojih je usluga bila prijavljena, kao i nekriptirana imena web-mjesta pohranjena u upravitelju lozinki te prijave, lozinke, podaci obrasca i bilješke za te web-mjesta pohranjeni u šifriranim obrazac..
Za zaštitu prijava i lozinki za stranice korištena je AES enkripcija s 256-bitnim ključem generiranim pomoću funkcije PBKDF2 na temelju glavne lozinke poznate samo korisniku, s minimalnom veličinom od 12 znakova. Šifriranje i dešifriranje prijava i lozinki u LastPassu provodi se samo na strani korisnika, a pogađanje glavne lozinke smatra se nerealnim na modernom hardveru, s obzirom na veličinu glavne lozinke i broj korištenih PBKDF2 iteracija.
Za izvođenje napada koristili su podatke do kojih su napadači došli tijekom prethodnog napada koji se dogodio u kolovozu, a počinjen je kroz kompromitaciju računa jednog od programera usluge. Hakiranje u kolovozu rezultiralo je time da su napadači dobili pristup razvojnom okruženju, kodu aplikacije i tehničkim informacijama. Kasnije se pokazalo da su napadači koristili podatke iz razvojnog okruženja za napad na drugog programera, čime su uspjeli doći do pristupnih ključeva za pohranu u oblaku i ključeva za dešifriranje podataka iz tamo pohranjenih spremnika. Kompromitirani poslužitelji u oblaku ugostili su potpune sigurnosne kopije podataka proizvodne usluge.
Izvor: opennet.ru