Pamekar tina manajer sandi LastPass, anu dianggo ku langkung ti 33 juta jalma sareng langkung ti 100 perusahaan, ngabéjaan pangguna ngeunaan hiji kajadian dimana panyerang tiasa nampi aksés kana salinan cadangan tina panyimpen sareng data pangguna jasa éta. Data kalebet inpormasi sapertos nami pangguna, alamat, email, telepon sareng alamat IP dimana jasa éta diakses, ogé nami situs anu henteu énkripsi disimpen dina manajer sandi sareng login énkripsi, kecap akses, data formulir sareng catetan anu disimpen dina situs ieu. .
Pikeun ngajaga login sareng kecap akses kana situs, énkripsi AES dianggo kalayan konci 256-bit anu didamel nganggo fungsi PBKDF2 dumasar kana kecap konci master anu ngan ukur dipikanyaho ku pangguna, kalayan ukuran minimum 12 karakter. Énkripsi sareng dekripsi login sareng kecap akses dina LastPass dilaksanakeun ngan ukur di sisi pangguna, sareng guessing master password dianggap teu realistis dina hardware modern, upami ukuran master password sareng jumlah iterations PBKDF2 anu diterapkeun.
Pikeun ngalaksanakeun serangan éta, aranjeunna ngagunakeun data anu dicandak ku panyerang nalika serangan terakhir anu lumangsung dina bulan Agustus sareng dilaksanakeun ngaliwatan kompromi akun salah sahiji pamekar jasa éta. Peretasan Agustus nyababkeun panyerang kéngingkeun aksés kana lingkungan pangembangan, kode aplikasi, sareng inpormasi téknis. Engké tétéla yén panyerang ngagunakeun data tina lingkungan pamekaran pikeun nyerang pamekar anu sanés, salaku hasilna aranjeunna tiasa kéngingkeun konci aksés kana panyimpenan awan sareng konci pikeun ngadekrip data tina wadah anu disimpen di dinya. Pangladén awan anu dikompromi nyayogikeun cadangan lengkep data jasa pagawé.
sumber: opennet.ru