Twórcy menedżera haseł LastPass, z którego korzysta ponad 33 miliony osób i ponad 100 XNUMX firm, powiadomili użytkowników o incydencie, w wyniku którego atakującym udało się uzyskać dostęp do kopii zapasowych magazynu zawierającego dane użytkowników usługi. Dane obejmowały takie informacje, jak nazwa użytkownika, adres, adres e-mail, telefon i adres IP, z którego uzyskano dostęp do usługi, a także niezaszyfrowane nazwy witryn przechowywane w menedżerze haseł oraz zaszyfrowane loginy, hasła, dane z formularzy i notatki przechowywane w tych witrynach.
Do ochrony loginów i haseł do serwisów zastosowano szyfrowanie AES z 256-bitowym kluczem wygenerowanym za pomocą funkcji PBKDF2 w oparciu o hasło główne znane tylko użytkownikowi, o minimalnej długości 12 znaków. Szyfrowanie i deszyfrowanie loginów i haseł w LastPass odbywa się tylko po stronie użytkownika, a odgadnięcie hasła głównego jest uważane za nierealne na nowoczesnym sprzęcie, biorąc pod uwagę rozmiar hasła głównego i zastosowaną liczbę iteracji PBKDF2.
Do przeprowadzenia ataku wykorzystali dane uzyskane przez atakujących podczas ostatniego ataku, który miał miejsce w sierpniu i został przeprowadzony poprzez włamanie się na konto jednego z twórców serwisu. W wyniku sierpniowego włamania atakujący uzyskali dostęp do środowiska programistycznego, kodu aplikacji i informacji technicznych. Później okazało się, że napastnicy wykorzystali dane ze środowiska deweloperskiego do ataku na innego programistę, w wyniku czego udało im się zdobyć klucze dostępu do magazynu w chmurze oraz klucze umożliwiające odszyfrowanie danych z przechowywanych tam kontenerów. Na zaatakowanych serwerach w chmurze znajdowały się pełne kopie zapasowe danych usług pracowników.
Źródło: opennet.ru