33 万人以上、100 万社以上の企業が使用している LastPass パスワード マネージャーの開発者は、攻撃者がサービスのユーザーのデータが保存されたストレージのバックアップ コピーにアクセスすることに成功したというインシデントについてユーザーに通知しました。 データには、サービスにアクセスしたユーザー名、住所、電子メール、電話、IP アドレスなどの情報に加え、パスワード マネージャーに保存されている暗号化されていないサイト名や、これらのサイトに保存されている暗号化されたログイン、パスワード、フォーム データ、メモが含まれていました。
サイトへのログインとパスワードを保護するために、ユーザーのみが知っている最小サイズ 256 文字のマスター パスワードに基づいて PBKDF2 関数を使用して生成された 12 ビット キーを使用した AES 暗号化が使用されました。 LastPass でのログインとパスワードの暗号化と復号化はユーザー側でのみ実行され、マスター パスワードのサイズと適用される PBKDF2 反復数を考慮すると、マスター パスワードの推測は最新のハードウェアでは非現実的であると考えられます。
攻撃を実行するために、彼らは XNUMX 月に発生した最後の攻撃中に攻撃者が取得したデータを使用しました。この攻撃は、サービスの開発者の XNUMX 人のアカウントを侵害することによって実行されました。 XNUMX 月のハッキングにより、攻撃者は開発環境、アプリケーション コード、技術情報にアクセスできるようになりました。 その後、攻撃者は開発環境のデータを使用して別の開発者を攻撃し、その結果、クラウド ストレージへのアクセス キーと、そこに保存されているコンテナからデータを復号化するためのキーを取得したことが判明しました。 侵害されたクラウド サーバーは、ワーカー サービス データの完全なバックアップをホストしていました。
出所: オープンネット.ru