D'Entwéckler vum LastPass Passwuert Manager, dee vu méi wéi 33 Millioune Leit a méi wéi 100 Firmen benotzt gëtt, hunn d'Benotzer iwwer en Zwëschefall informéiert, an deem Ugräifer et fäerdeg bruecht hunn Zougang zu Backupkopien vun der Späichere mat den Daten vun de Benotzer vum Service ze kréien. D'Donnéeë enthalen Informatioun wéi Benotzernumm, Adress, E-Mail, Telefon an IP Adressen, vun deenen de Service zougeruff gouf, souwéi onverschlësselte Sitenamen, déi am Passwuertmanager gespäichert sinn a verschlësselte Login, Passwierder, Formdaten an Notizen op dëse Site gespäichert.
Fir Login a Passwuert op Siten ze schützen, gouf d'AES Verschlësselung benotzt mat engem 256-Bit Schlëssel generéiert mat der PBKDF2 Funktioun baséiert op engem Master Passwuert nëmmen dem Benotzer bekannt, mat enger Mindestgréisst vun 12 Zeechen. D'Verschlësselung an d'Entschlësselung vu Login a Passwuert am LastPass gëtt nëmmen op der Benotzersäit duerchgefouert, a Master Passwuert roden gëtt als onrealistesch op moderner Hardware ugesinn, mat der Gréisst vum Master Passwuert an der ugewandter Zuel vun PBKDF2 Iteratiounen.
Fir d'Attack auszeféieren, hunn se Daten benotzt, déi vun den Ugräifer während der leschter Attack kritt goufen, déi am August geschitt ass a gouf duerch de Kompromëss vum Kont vun engem vun den Entwéckler vum Service duerchgefouert. Den August Hack huet dozou gefouert datt Ugräifer Zougang zum Entwécklungsëmfeld, Applikatiounscode an technesch Informatioun kréien. Spéider huet sech erausgestallt datt d'Ugräifer Daten aus der Entwécklungsëmfeld benotzt hunn fir en aneren Entwéckler z'attackéieren, als Resultat vun deem se et fäerdeg bruecht hunn Zougangsschlësselen op d'Wollekspäicherung ze kréien an d'Schlëssel fir Daten aus de Container ze entschlësselen, déi do gespäichert sinn. Déi kompromittéiert Cloud-Server hunn voll Backupe vun den Aarbechterservicedaten gehost.
Source: opennet.ru