Գաղտնաբառերի կառավարիչ LastPass-ի մշակողները, որն օգտագործում է ավելի քան 33 միլիոն մարդ և ավելի քան 100 հազար ընկերություն, օգտատերերին ծանուցել են միջադեպի մասին, որի արդյունքում հարձակվողներին հաջողվել է մուտք գործել պահեստի պահեստային պատճեններ՝ ծառայության օգտատերերի տվյալների հետ։ . Տվյալները ներառում էին այնպիսի տեղեկություններ, ինչպիսիք են օգտանունը, հասցեն, էլ. փոստը, հեռախոսը և IP հասցեները, որոնցից մուտք է գործել ծառայությունը, ինչպես նաև գաղտնաբառերի կառավարիչում պահվող չգաղտնագրված կայքերի անունները և մուտքերը, գաղտնաբառերը, ձևի տվյալները և գաղտնագրված այս կայքերի նշումները: ձև..
Կայքերի մուտքերն ու գաղտնաբառերը պաշտպանելու համար AES կոդավորումն օգտագործվել է 256-բիթանոց բանալիով, որը ստեղծվել է PBKDF2 ֆունկցիայի միջոցով, որը հիմնված է միայն օգտագործողին հայտնի հիմնական գաղտնաբառի վրա, որի նվազագույն չափը 12 նիշ է: LastPass-ում մուտքերի և գաղտնաբառերի կոդավորումն ու վերծանումն իրականացվում է միայն օգտատիրոջ կողմից, իսկ հիմնական գաղտնաբառի գուշակումը ժամանակակից սարքավորումների համար անիրատեսական է համարվում՝ հաշվի առնելով հիմնական գաղտնաբառի չափը և օգտագործվող PBKDF2 կրկնությունների քանակը:
Հարձակումն իրականացնելու համար նրանք օգտագործել են հարձակվողների կողմից ձեռք բերված տվյալները նախորդ հարձակման ժամանակ, որը տեղի է ունեցել օգոստոսին և կատարվել է ծառայության ծրագրավորողներից մեկի հաշվի խախտման միջոցով: Օգոստոսյան հաքերային հարձակումը հանգեցրեց նրան, որ հարձակվողները մուտք են գործել զարգացման միջավայր, հավելվածի կոդը և տեխնիկական տեղեկատվություն: Ավելի ուշ պարզվեց, որ հարձակվողներն օգտագործել են մշակման միջավայրի տվյալները՝ մեկ այլ ծրագրավորողի վրա հարձակվելու համար, ինչի արդյունքում նրանք կարողացել են մուտքի բանալիներ ստանալ ամպային պահեստի և այնտեղ պահվող բեռնարկղերից տվյալների վերծանման բանալիներ: Վտանգված ամպային սերվերները հյուրընկալել են արտադրության ծառայության տվյալների ամբողջական կրկնօրինակում:
Source: opennet.ru