Watengenezaji wa meneja wa nenosiri LastPass, ambayo hutumiwa na watu zaidi ya milioni 33 na kampuni zaidi ya elfu 100, waliarifu watumiaji wa tukio kama matokeo ambayo washambuliaji walifanikiwa kupata nakala za uhifadhi na data ya watumiaji wa huduma. . Data hiyo ilijumuisha taarifa kama vile jina la mtumiaji, anwani, barua pepe, simu na anwani za IP ambapo huduma ilitumiwa kuingia, pamoja na majina ya tovuti ambayo hayajasimbwa yaliyohifadhiwa kwenye kidhibiti cha nenosiri na logi, nywila, data ya fomu na madokezo ya tovuti hizi zilizohifadhiwa kwa njia fiche. fomu..
Ili kulinda kumbukumbu na manenosiri ya tovuti, usimbaji fiche wa AES ulitumiwa kwa ufunguo wa 256-bit uliozalishwa kwa kutumia chaguo la kukokotoa la PBKDF2 kulingana na nenosiri kuu linalojulikana na mtumiaji pekee, lenye ukubwa wa chini wa herufi 12. Usimbaji fiche na usimbuaji wa kumbukumbu na nywila katika LastPass unafanywa tu kwa upande wa mtumiaji, na kubahatisha nywila kuu inachukuliwa kuwa isiyo ya kweli kwenye vifaa vya kisasa, kwa kuzingatia saizi ya nenosiri kuu na idadi ya marudio ya PBKDF2 yaliyotumiwa.
Ili kutekeleza shambulio hilo, walitumia data iliyopatikana na washambuliaji wakati wa shambulio la awali lililotokea mnamo Agosti na lilifanywa kupitia maelewano ya akaunti ya mmoja wa watengenezaji wa huduma. Udukuzi huo wa Agosti ulisababisha wavamizi kupata ufikiaji wa mazingira ya uendelezaji, msimbo wa programu na maelezo ya kiufundi. Baadaye iliibuka kuwa washambuliaji walitumia data kutoka kwa mazingira ya ukuzaji kushambulia msanidi programu mwingine, kama matokeo ambayo waliweza kupata funguo za ufikiaji wa uhifadhi wa wingu na funguo za kusimbua data kutoka kwa vyombo vilivyohifadhiwa hapo. Seva za wingu zilizoathiriwa zilipangisha nakala kamili za data ya huduma ya uzalishaji.
Chanzo: opennet.ru