ผู้พัฒนาผู้จัดการรหัสผ่าน LastPass ซึ่งมีผู้ใช้งานมากกว่า 33 ล้านคนและบริษัทมากกว่า 100 แห่ง แจ้งให้ผู้ใช้ทราบถึงเหตุการณ์ที่เกิดขึ้น ซึ่งเป็นผลมาจากการที่ผู้โจมตีจัดการเพื่อเข้าถึงสำเนาสำรองของพื้นที่เก็บข้อมูลพร้อมข้อมูลของผู้ใช้บริการ . ข้อมูลดังกล่าวรวมถึงข้อมูลต่างๆ เช่น ชื่อผู้ใช้ ที่อยู่ อีเมล โทรศัพท์ และที่อยู่ IP ที่ใช้ในการเข้าสู่ระบบบริการ ตลอดจนชื่อไซต์ที่ไม่ได้เข้ารหัสที่จัดเก็บไว้ในเครื่องมือจัดการรหัสผ่าน และการเข้าสู่ระบบ รหัสผ่าน ข้อมูลแบบฟอร์ม และหมายเหตุสำหรับไซต์เหล่านี้ที่เก็บไว้ในการเข้ารหัส แบบฟอร์ม. .
เพื่อปกป้องการเข้าสู่ระบบและรหัสผ่านสำหรับไซต์ การเข้ารหัส AES ถูกนำมาใช้กับคีย์ 256 บิตที่สร้างขึ้นโดยใช้ฟังก์ชัน PBKDF2 ตามรหัสผ่านหลักที่ผู้ใช้รู้จักเท่านั้น โดยมีขนาดอย่างน้อย 12 ตัวอักษร การเข้ารหัสและถอดรหัสการเข้าสู่ระบบและรหัสผ่านใน LastPass จะดำเนินการเฉพาะในฝั่งผู้ใช้เท่านั้น และการเดารหัสผ่านหลักนั้นถือว่าไม่สมจริงในฮาร์ดแวร์สมัยใหม่ เมื่อพิจารณาจากขนาดของรหัสผ่านหลักและจำนวนการวนซ้ำ PBKDF2 ที่ใช้
ในการโจมตี พวกเขาใช้ข้อมูลที่ได้รับจากผู้โจมตีระหว่างการโจมตีครั้งก่อนซึ่งเกิดขึ้นในเดือนสิงหาคม และเกิดขึ้นผ่านการประนีประนอมบัญชีของหนึ่งในผู้พัฒนาบริการ การแฮ็กในเดือนสิงหาคมส่งผลให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมการพัฒนา รหัสแอปพลิเคชัน และข้อมูลทางเทคนิค ต่อมาปรากฏว่าผู้โจมตีใช้ข้อมูลจากสภาพแวดล้อมการพัฒนาเพื่อโจมตีนักพัฒนารายอื่น ซึ่งส่งผลให้พวกเขาสามารถรับคีย์การเข้าถึงไปยังที่เก็บข้อมูลบนคลาวด์และคีย์เพื่อถอดรหัสข้อมูลจากคอนเทนเนอร์ที่เก็บไว้ที่นั่น เซิร์ฟเวอร์คลาวด์ที่ถูกบุกรุกได้โฮสต์การสำรองข้อมูลบริการการผลิตเต็มรูปแบบ
ที่มา: opennet.ru