Ang mga developer ng LastPass password manager, na ginagamit ng mahigit 33 milyong tao at mahigit 100 kumpanya, ay nagpaalam sa mga gumagamit ng isang insidente kung saan nakakuha ng access ang mga attacker sa mga backup na kopya ng data ng gumagamit ng serbisyo. Kasama sa data na ito ang mga username, address, email address, numero ng telepono, at mga IP address na ginamit upang ma-access ang serbisyo, pati na rin ang mga hindi naka-encrypt na pangalan ng website na nakaimbak sa password manager at mga naka-encrypt na login, password, data ng form, at mga tala para sa mga website na ito.
Upang protektahan ang mga login at password ng website, ginamit ang AES encryption na may 256-bit key na nabuo gamit ang PBKDF2, batay sa isang master password na alam lamang ng user at hindi bababa sa 12 character ang haba. Ang pag-encrypt at pag-decrypt ng mga login at password sa LastPass ay ginagawa lamang sa panig ng user, at ang brute-forcing ng master password ay itinuturing na hindi makatotohanan sa modernong hardware, dahil sa laki ng master password at bilang ng mga PBKDF2 na pag-ulit na ginamit.
Ginamit ng pag-atake ang datos na nakuha ng mga umaatake noong nakaraang pag-atake noong Agosto, na kinasasangkutan ng pagkompromiso sa account ng isa sa mga developer ng serbisyo. Ang pag-hack noong Agosto ay nagresulta sa pagkakaroon ng access ng mga umaatake sa development environment, application code, at teknikal na impormasyon. Kalaunan ay natuklasan na ginamit ng mga umaatake ang datos mula sa development environment upang atakihin ang isa pang developer, na nagresulta sa pagkuha ng mga access key sa cloud storage at mga decryption key para sa mga container na nakaimbak doon. Ang mga nakompromisong cloud service mga server Nailagay na ang mga kumpletong backup na kopya ng datos ng gumaganang serbisyo.
Pinagmulan: opennet.ru
