LastPass پاسورڊ مئنيجر جي ڊولپرز، جيڪو 33 ملين کان وڌيڪ ماڻهن ۽ 100 کان وڌيڪ ڪمپنين پاران استعمال ڪيو ويو آهي، صارفين کي هڪ واقعي جي باري ۾ مطلع ڪيو آهي جنهن ۾ حملي ڪندڙن سروس جي استعمال ڪندڙن جي ڊيٽا سان گڏ اسٽوريج جي بيڪ اپ ڪاپي تائين رسائي حاصل ڪرڻ ۾ مدد ڪئي. . ڊيٽا ۾ معلومات شامل هئي جهڙوڪ يوزرنيم، ايڊريس، اي ميل، فون ۽ IP ايڊريس جن مان سروس تائين رسائي ڪئي وئي، انهي سان گڏ پاسورڊ مئنيجر ۾ محفوظ ٿيل غير انڪرپٽ سائيٽ جا نالا ۽ انهن سائيٽن ۾ محفوظ ٿيل لاگ ان، پاسورڊ، فارم ڊيٽا ۽ نوٽس.
سائيٽن لاءِ لاگ ان ۽ پاسورڊ کي بچائڻ لاءِ، AES انڪريپشن استعمال ڪئي وئي 256-bit ڪيئي سان PBKDF2 فنڪشن استعمال ڪندي ٺاهيل ماسٽر پاسورڊ جي بنياد تي جيڪو صرف صارف کي معلوم ٿئي ٿو، گهٽ ۾ گهٽ 12 اکرن جي سائيز سان. LastPass ۾ لاگ ان ۽ پاسورڊ جي انڪرپشن ۽ ڊڪرپشن صرف استعمال ڪندڙ جي پاسي تي ڪئي ويندي آهي، ۽ ماسٽر پاسورڊ جي اندازي کي جديد هارڊويئر تي غير حقيقي سمجهيو ويندو آهي، ماسٽر پاسورڊ جي سائيز ۽ PBKDF2 جي لاڳو ڪيل تعداد کي ڏنو ويو آهي.
حملي ۾ حملي آورن پاران آگسٽ ۾ ٿيل هڪ اڳوڻي حملي دوران حاصل ڪيل ڊيٽا استعمال ڪئي وئي، جنهن ۾ سروس جي ڊولپرز مان هڪ جي اڪائونٽ سان سمجهوتو ڪرڻ شامل هو. آگسٽ هيڪ جي نتيجي ۾ حملي آورن کي ڊولپمينٽ ماحول، ايپليڪيشن ڪوڊ، ۽ ٽيڪنيڪل معلومات تائين رسائي حاصل ٿي وئي. بعد ۾ اهو دريافت ٿيو ته حملي آورن ڊولپمينٽ ماحول مان ڊيٽا کي ٻئي ڊولپر تي حملو ڪرڻ لاءِ استعمال ڪيو هو، جنهن جي نتيجي ۾ ڪلائوڊ اسٽوريج تائين رسائي جي ڪنجيون ۽ اتي محفوظ ڪيل ڪنٽينرز لاءِ ڊيڪرپشن ڪيز حاصل ڪيون ويون. سمجھوتو ڪيل ڪلائوڊ سروسز سرورز ڪم ڪندڙ سروس ڊيٽا جون مڪمل بيڪ اپ ڪاپيون رکيون ويون.
جو ذريعو: opennet.ru
