A több mint 33 millió ember és több mint 100 ezer cég által használt LastPass jelszókezelő fejlesztői egy olyan incidensről értesítették a felhasználókat, amelynek során a támadóknak sikerült hozzájutniuk a szolgáltatás felhasználói adatait tartalmazó tárhely biztonsági másolataihoz. Az adatok olyan információkat tartalmaztak, mint a felhasználónév, cím, e-mail-cím, telefon- és IP-cím, amelyről a szolgáltatást elérték, valamint a jelszókezelőben tárolt titkosítatlan webhelynevek, valamint az ezeken az oldalakon tárolt titkosított bejelentkezési adatok, jelszavak, űrlapadatok és megjegyzések.
A webhelyek bejelentkezési adatainak és jelszavainak védelme érdekében AES-titkosítást alkalmaztak egy 256 bites kulccsal, amelyet a PBKDF2 funkcióval generáltak, a csak a felhasználó által ismert, legalább 12 karakteres mesterjelszó alapján. A LastPass bejelentkezési és jelszavak titkosítása és visszafejtése csak a felhasználói oldalon történik, és a fő jelszó kitalálása a modern hardveren irreális, tekintettel a fő jelszó méretére és az alkalmazott PBKDF2 iterációk számára.
A támadás végrehajtásához azokat az adatokat használták fel, amelyeket a támadók a legutóbbi augusztusi támadás során szereztek meg, és a szolgáltatás egyik fejlesztőjének fiókjának feltörésével valósították meg. Az augusztusi feltörés eredményeként a támadók hozzáfértek a fejlesztői környezethez, az alkalmazás kódjához és a technikai információkhoz. Később kiderült, hogy a támadók a fejlesztői környezetből származó adatokat használtak fel egy másik fejlesztő megtámadására, aminek eredményeként sikerült hozzáférési kulcsokat szerezniük a felhőtárhelyhez, illetve az ott tárolt konténerekből az adatok visszafejtéséhez szükséges kulcsokat. A kompromittált felhőkiszolgálók teljes biztonsági másolatot készítettek a dolgozói szolgáltatás adatairól.
Forrás: opennet.ru