Utvecklarna av LastPass lösenordshanteraren, som används av mer än 33 miljoner människor och mer än 100 XNUMX företag, meddelade användare om en incident där angripare lyckades få tillgång till säkerhetskopior av lagringen med data från användare av tjänsten. Uppgifterna inkluderade information som användarnamn, adress, e-post, telefon och IP-adresser från vilka tjänsten nås, samt okrypterade webbplatsnamn lagrade i lösenordshanteraren och krypterade inloggningar, lösenord, formulärdata och anteckningar lagrade på dessa webbplatser.
För att skydda inloggningar och lösenord till webbplatser användes AES-kryptering med en 256-bitars nyckel genererad med PBKDF2-funktionen baserat på ett huvudlösenord som endast är känt för användaren, minst 12 tecken stort. Kryptering och dekryptering av inloggningar och lösenord i LastPass utförs endast på användarsidan, och gissning av huvudlösenord anses orealistiskt på modern hårdvara, med tanke på storleken på huvudlösenordet och det använda antalet PBKDF2-iterationer.
För att utföra attacken använde de data som erhållits av angriparna under den senaste attacken som inträffade i augusti och utfördes genom att kompromissa med kontot för en av utvecklarna av tjänsten. Hacket i augusti resulterade i att angripare fick tillgång till utvecklingsmiljön, applikationskoden och teknisk information. Senare visade det sig att angriparna använde data från utvecklingsmiljön för att attackera en annan utvecklare, vilket ledde till att de lyckades få åtkomstnycklar till molnlagringen och nycklar för att dekryptera data från behållarna som lagrats där. De komprometterade molnservrarna var värd för fullständiga säkerhetskopior av arbetartjänstens data.
Källa: opennet.ru