Slaptažodžių tvarkyklės „LastPass“, kurią naudoja daugiau nei 33 milijonai žmonių ir daugiau nei 100 tūkstančių įmonių, kūrėjai pranešė vartotojams apie incidentą, dėl kurio užpuolikams pavyko pasiekti atsargines saugyklos kopijas su paslaugų vartotojų duomenimis. . Duomenys apėmė tokią informaciją kaip vartotojo vardas, adresas, el. pašto adresas, telefono ir IP adresai, iš kurių buvo prisijungta prie paslaugos, taip pat nešifruoti svetainių pavadinimai, saugomi slaptažodžių tvarkyklėje, ir šių svetainių prisijungimai, slaptažodžiai, formų duomenys ir pastabos, saugomos šifruotoje. forma.
Siekiant apsaugoti svetainių prisijungimus ir slaptažodžius, AES šifravimas buvo naudojamas naudojant 256 bitų raktą, sugeneruotą naudojant PBKDF2 funkciją, remiantis pagrindiniu slaptažodžiu, žinomu tik vartotojui, kurio minimalus dydis yra 12 simbolių. Prisijungimų ir slaptažodžių šifravimas ir iššifravimas „LastPass“ atliekamas tik vartotojo pusėje, o atspėti pagrindinį slaptažodį šiuolaikinėje aparatinėje įrangoje laikoma nerealu, atsižvelgiant į pagrindinio slaptažodžio dydį ir naudojamų PBKDF2 iteracijų skaičių.
Ataka panaudojo duomenis, kuriuos užpuolikai gavo per ankstesnę ataką rugpjūtį, kurios metu buvo pažeista vieno iš paslaugos kūrėjų paskyra. Rugpjūčio mėnesio įsilaužimo metu užpuolikai gavo prieigą prie kūrimo aplinkos, programos kodo ir techninės informacijos. Vėliau buvo išsiaiškinta, kad užpuolikai panaudojo duomenis iš kūrimo aplinkos, kad užpultų kitą kūrėją, taip gaudami prieigos raktus prie debesies saugyklos ir iššifravimo raktus ten saugomiems konteineriams. Pažeistos debesijos paslaugos. serveriai Buvo įdiegtos pilnos veikiančių paslaugų duomenų atsarginės kopijos.
Šaltinis: opennet.ru
