Hönnuðir LastPass lykilorðastjórans, sem er notaður af meira en 33 milljónum manna og meira en 100 fyrirtækjum, tilkynntu notendum um atvik þar sem árásarmönnum tókst að komast yfir öryggisafrit af geymslunni með gögnum notenda þjónustunnar. Gögnin innihéldu upplýsingar eins og notandanafn, heimilisfang, netfang, síma og IP-tölur sem þjónustan var opnuð frá, svo og ódulkóðuð vefnöfn sem geymd eru í lykilorðastjóranum og dulkóðuð innskráning, lykilorð, eyðublaðagögn og athugasemdir sem geymdar eru á þessum síðum.
Til að vernda innskráningar og lykilorð að vefsvæðum var AES dulkóðun notuð með 256 bita lykli sem var búinn til með PBKDF2 aðgerðinni sem byggir á aðallykilorði sem notandinn þekkir, með lágmarksstærð 12 stafir. Dulkóðun og afkóðun innskráninga og lykilorða í LastPass er aðeins framkvæmd á notendahliðinni og giska á aðallykilorð er talin óraunhæf á nútíma vélbúnaði, miðað við stærð aðallykilorðsins og notaðan fjölda PBKDF2 endurtekningar.
Til að framkvæma árásina notuðu þeir gögn sem árásarmennirnir fengu í síðustu árásinni sem átti sér stað í ágúst og var gerð með málamiðlun á reikningi eins af þróunaraðilum þjónustunnar. Ágúst hakkið leiddi til þess að árásarmenn fengu aðgang að þróunarumhverfi, forritakóða og tæknilegum upplýsingum. Síðar kom í ljós að árásarmennirnir notuðu gögn úr þróunarumhverfinu til að ráðast á annan forritara með þeim afleiðingum að þeir náðu í aðgangslykla að skýjageymslunni og lykla til að afkóða gögn úr gámunum sem þar voru geymdir. Skýþjónarnir sem hafa verið í hættu hýsti fullt afrit af gögnum starfsmannaþjónustunnar.
Heimild: opennet.ru