Zhvilluesit e menaxherit të fjalëkalimeve LastPass, i cili përdoret nga më shumë se 33 milion njerëz dhe më shumë se 100 mijë kompani, njoftuan përdoruesit për një incident si rezultat i të cilit sulmuesit arritën të fitojnë akses në kopjet rezervë të ruajtjes me të dhënat e përdoruesve të shërbimit . Të dhënat përfshinin informacione të tilla si emri i përdoruesit, adresa, emaili, telefoni dhe adresat IP nga të cilat shërbimi u identifikua, si dhe emrat e pashifruar të faqeve të ruajtura në menaxherin e fjalëkalimeve dhe hyrjet, fjalëkalimet, të dhënat e formularit dhe shënimet për këto sajte të ruajtura në të koduara forma..
Për të mbrojtur hyrjet dhe fjalëkalimet për faqet, kriptimi AES u përdor me një çelës 256-bit të gjeneruar duke përdorur funksionin PBKDF2 bazuar në një fjalëkalim kryesor të njohur vetëm nga përdoruesi, me një madhësi minimale prej 12 karakteresh. Kriptimi dhe deshifrimi i hyrjeve dhe fjalëkalimeve në LastPass kryhet vetëm nga ana e përdoruesit, dhe hamendja e fjalëkalimit kryesor konsiderohet joreale në pajisjen moderne, duke pasur parasysh madhësinë e fjalëkalimit kryesor dhe numrin e përsëritjeve PBKDF2 të përdorura.
Për të kryer sulmin, ata përdorën të dhënat e marra nga sulmuesit gjatë një sulmi të mëparshëm që ndodhi në gusht dhe ishte kryer përmes komprometimit të llogarisë së një prej zhvilluesve të shërbimit. Hakimi i gushtit rezultoi që sulmuesit të fitonin akses në mjedisin e zhvillimit, kodin e aplikacionit dhe informacionin teknik. Më vonë doli se sulmuesit përdorën të dhëna nga mjedisi i zhvillimit për të sulmuar një zhvillues tjetër, si rezultat i të cilit ata ishin në gjendje të merrnin çelësat e hyrjes në ruajtjen e cloud dhe çelësat për të deshifruar të dhënat nga kontejnerët e ruajtur atje. Serverët cloud të komprometuar strehonin kopje rezervë të plotë të të dhënave të shërbimit të prodhimit.
Burimi: opennet.ru