Pengembang pengelola kata sandi LastPass, yang digunakan oleh lebih dari 33 juta orang dan lebih dari 100 ribu perusahaan, memberi tahu pengguna tentang sebuah insiden yang mengakibatkan penyerang berhasil mendapatkan akses ke salinan cadangan penyimpanan dengan data pengguna layanan. . Data tersebut mencakup informasi seperti nama pengguna, alamat, email, telepon, dan alamat IP dari mana layanan tersebut login, serta nama situs tidak terenkripsi yang disimpan dalam pengelola kata sandi dan login, kata sandi, data formulir, dan catatan untuk situs-situs tersebut disimpan dalam bentuk terenkripsi. bentuk. .
Untuk melindungi login dan kata sandi situs, enkripsi AES digunakan dengan kunci 256-bit yang dihasilkan menggunakan fungsi PBKDF2 berdasarkan kata sandi utama yang hanya diketahui oleh pengguna, dengan ukuran minimal 12 karakter. Enkripsi dan dekripsi login dan kata sandi di LastPass hanya dilakukan di sisi pengguna, dan menebak kata sandi utama dianggap tidak realistis pada perangkat keras modern, mengingat ukuran kata sandi utama dan jumlah iterasi PBKDF2 yang digunakan.
Untuk melakukan serangan tersebut, mereka menggunakan data yang diperoleh penyerang selama serangan sebelumnya yang terjadi pada bulan Agustus dan dilakukan melalui penyusupan akun salah satu pengembang layanan. Peretasan pada bulan Agustus mengakibatkan penyerang mendapatkan akses ke lingkungan pengembangan, kode aplikasi, dan informasi teknis. Belakangan diketahui bahwa penyerang menggunakan data dari lingkungan pengembangan untuk menyerang pengembang lain, sehingga mereka dapat memperoleh kunci akses ke penyimpanan cloud dan kunci untuk mendekripsi data dari wadah yang disimpan di sana. Server cloud yang disusupi menghosting pencadangan penuh data layanan produksi.
Sumber: opennet.ru