Utviklerne av passordbehandleren LastPass, som brukes av mer enn 33 millioner mennesker og mer enn 100 tusen selskaper, varslet brukere om en hendelse som et resultat av at angripere klarte å få tilgang til sikkerhetskopier av lagringen med data fra tjenestebrukere . Dataene inkluderte informasjon som brukernavn, adresse, e-post, telefon og IP-adresser som tjenesten ble logget inn fra, samt ukrypterte nettstedsnavn lagret i passordbehandleren og innlogginger, passord, skjemadata og notater for disse sidene lagret i kryptert form..
For å beskytte pålogginger og passord for nettsteder, ble AES-kryptering brukt med en 256-bits nøkkel generert ved hjelp av PBKDF2-funksjonen basert på et hovedpassord som kun er kjent for brukeren, med en minimumsstørrelse på 12 tegn. Kryptering og dekryptering av pålogginger og passord i LastPass utføres kun på brukerens side, og å gjette hovedpassordet anses som urealistisk på moderne maskinvare, gitt størrelsen på hovedpassordet og antall PBKDF2-iterasjoner som brukes.
For å utføre angrepet brukte de data innhentet av angriperne under et tidligere angrep som skjedde i august og ble begått gjennom kompromittering av kontoen til en av tjenesteutviklerne. August-hacket resulterte i at angripere fikk tilgang til utviklingsmiljøet, applikasjonskoden og teknisk informasjon. Det viste seg senere at angriperne brukte data fra utviklingsmiljøet til å angripe en annen utvikler, som et resultat av at de fikk tilgangsnøkler til skylagringen og nøkler for å dekryptere data fra containerne som var lagret der. De kompromitterte skyserverne var vert for fullstendige sikkerhetskopier av produksjonstjenestedataene.
Kilde: opennet.ru