Pangembang pangembang sandi LastPass, sing digunakake luwih saka 33 yuta wong lan luwih saka 100 ewu perusahaan, menehi kabar marang pangguna babagan kedadeyan minangka akibat saka panyerang bisa entuk akses menyang salinan serep panyimpenan kanthi data pangguna layanan. . Data kasebut kalebu informasi kayata jeneng pangguna, alamat, email, telpon lan alamat IP saka ngendi layanan kasebut mlebu, uga jeneng situs sing ora dienkripsi sing disimpen ing manajer sandi lan login, sandhi, data formulir lan cathetan kanggo situs kasebut sing disimpen ing ndhelik. wujude..
Kanggo nglindhungi login lan sandhi kanggo situs, enkripsi AES digunakake kanthi kunci 256-bit sing digawe nggunakake fungsi PBKDF2 adhedhasar sandi master sing mung dikenal pangguna, kanthi ukuran minimal 12 karakter. Enkripsi lan dekripsi login lan sandhi ing LastPass ditindakake mung ing sisih pangguna, lan ngira sandhi master dianggep ora realistis ing hardware modern, amarga ukuran sandi master lan jumlah pengulangan PBKDF2 sing digunakake.
Kanggo nindakake serangan kasebut, dheweke nggunakake data sing dipikolehi dening para panyerang sajrone serangan sadurunge sing kedadeyan ing wulan Agustus lan ditindakake liwat kompromi akun salah sawijining pangembang layanan. Peretasan Agustus nyebabake panyerang entuk akses menyang lingkungan pangembangan, kode aplikasi, lan informasi teknis. Banjur ternyata para panyerang nggunakake data saka lingkungan pangembangan kanggo nyerang pangembang liyane, minangka asil bisa entuk kunci akses menyang panyimpenan maya lan kunci kanggo dekripsi data saka wadhah sing disimpen ing kono. Server awan sing dikompromi dadi tuan rumah serep lengkap data layanan produksi.
Source: opennet.ru