Vývojári správcu hesiel LastPass, ktorý používa viac ako 33 miliónov ľudí a viac ako 100 tisíc spoločností, upozornili používateľov na incident, v dôsledku ktorého sa útočníkom podarilo získať prístup k záložným kópiám úložiska s údajmi používateľov služby. . Údaje zahŕňali informácie ako používateľské meno, adresa, e-mail, telefón a IP adresy, z ktorých bola služba prihlásená, ako aj nezašifrované názvy stránok uložené v správcovi hesiel a prihlasovacie mená, heslá, údaje z formulárov a poznámky pre tieto stránky uložené v šifrovanej podobe. forma..
Na ochranu prihlasovacích údajov a hesiel pre stránky sa použilo šifrovanie AES s 256-bitovým kľúčom vygenerovaným pomocou funkcie PBKDF2 na základe hlavného hesla, ktoré pozná iba používateľ, s minimálnou veľkosťou 12 znakov. Šifrovanie a dešifrovanie prihlasovacích údajov a hesiel v LastPass sa vykonáva iba na strane používateľa a uhádnutie hlavného hesla sa na modernom hardvéri považuje za nereálne vzhľadom na veľkosť hlavného hesla a počet použitých iterácií PBKDF2.
Na uskutočnenie útoku použili údaje, ktoré útočníci získali počas predchádzajúceho útoku, ku ktorému došlo v auguste a bol spáchaný kompromitáciou účtu jedného z vývojárov služby. Augustový hack mal za následok, že útočníci získali prístup k vývojovému prostrediu, kódu aplikácie a technickým informáciám. Neskôr sa ukázalo, že útočníci použili dáta z vývojového prostredia na útok na iného vývojára, v dôsledku čoho sa im podarilo získať prístupové kľúče ku cloudovému úložisku a kľúče na dešifrovanie dát z tam uložených kontajnerov. Kompromitované cloudové servery hostili úplné zálohy údajov produkčných služieb.
Zdroj: opennet.ru