De ontwikkelaars van de wachtwoordbeheerder LastPass, die door ruim 33 miljoen mensen en ruim 100 duizend bedrijven wordt gebruikt, hebben gebruikers op de hoogte gebracht van een incident waardoor aanvallers toegang wisten te krijgen tot back-upkopieën van de opslag met gegevens van dienstgebruikers . De gegevens omvatten informatie zoals gebruikersnaam, adres, e-mail-, telefoon- en IP-adressen waarmee op de dienst was ingelogd, evenals niet-gecodeerde sitenamen die zijn opgeslagen in de wachtwoordbeheerder en logins, wachtwoorden, formuliergegevens en notities voor deze sites die zijn opgeslagen in gecodeerde formulier. .
Om logins en wachtwoorden voor sites te beschermen, werd AES-codering gebruikt met een 256-bits sleutel die werd gegenereerd met behulp van de PBKDF2-functie op basis van een hoofdwachtwoord dat alleen bekend is bij de gebruiker, met een minimale grootte van 12 tekens. Het coderen en decoderen van logins en wachtwoorden in LastPass gebeurt alleen aan de kant van de gebruiker, en het raden van het hoofdwachtwoord wordt op moderne hardware als onrealistisch beschouwd, gezien de grootte van het hoofdwachtwoord en het aantal gebruikte PBKDF2-iteraties.
Om de aanval uit te voeren, gebruikten ze gegevens die de aanvallers hadden verkregen tijdens een eerdere aanval die in augustus plaatsvond en die werd gepleegd via het compromitteren van het account van een van de serviceontwikkelaars. De hack van augustus zorgde ervoor dat aanvallers toegang kregen tot de ontwikkelomgeving, applicatiecode en technische informatie. Later bleek dat de aanvallers data uit de ontwikkelomgeving gebruikten om een andere ontwikkelaar aan te vallen, waardoor ze toegangssleutels tot de cloudopslag konden bemachtigen en sleutels om data te ontsleutelen uit de daar opgeslagen containers. De gecompromitteerde cloudservers hostten volledige back-ups van de productieservicegegevens.
Bron: opennet.ru