Pembangun pengurus kata laluan LastPass, yang digunakan oleh lebih daripada 33 juta orang dan lebih daripada 100 syarikat, telah memberitahu pengguna tentang insiden di mana penyerang berjaya mendapatkan akses kepada salinan sandaran storan dengan data pengguna perkhidmatan tersebut. . Data tersebut termasuk maklumat seperti nama pengguna, alamat, e-mel, telefon dan alamat IP dari mana perkhidmatan itu diakses, serta nama tapak yang tidak disulitkan yang disimpan dalam pengurus kata laluan dan log masuk yang disulitkan, kata laluan, data borang dan nota yang disimpan dalam tapak ini. .
Untuk melindungi log masuk dan kata laluan untuk tapak, penyulitan AES telah digunakan dengan kunci 256-bit yang dijana menggunakan fungsi PBKDF2 berdasarkan kata laluan induk yang hanya diketahui pengguna, dengan saiz minimum 12 aksara. Penyulitan dan penyahsulitan log masuk dan kata laluan dalam LastPass hanya dilakukan pada bahagian pengguna, dan tekaan kata laluan induk dianggap tidak realistik pada perkakasan moden, memandangkan saiz kata laluan induk dan bilangan lelaran PBKDF2 yang digunakan.
Untuk melakukan serangan itu, mereka menggunakan data yang diperoleh oleh penyerang semasa serangan terakhir yang berlaku pada bulan Ogos dan dilakukan melalui kompromi akaun salah seorang pembangun perkhidmatan. Godam Ogos menyebabkan penyerang mendapat akses kepada persekitaran pembangunan, kod aplikasi dan maklumat teknikal. Kemudian ternyata bahawa penyerang menggunakan data dari persekitaran pembangunan untuk menyerang pemaju lain, akibatnya mereka berjaya mendapatkan kunci akses ke storan awan dan kunci untuk menyahsulit data dari bekas yang disimpan di sana. Pelayan awan yang terjejas mengehoskan sandaran penuh data perkhidmatan pekerja.
Sumber: opennet.ru