Ang mga developer ng LastPass password manager, na ginagamit ng higit sa 33 milyong mga tao at higit sa 100 mga kumpanya, ay nag-abiso sa mga user tungkol sa isang insidente kung saan ang mga umaatake ay nakakuha ng access sa mga backup na kopya ng storage gamit ang data ng mga user ng serbisyo. . Kasama sa data ang impormasyon tulad ng username, address, email, telepono at mga IP address kung saan na-access ang serbisyo, pati na rin ang mga hindi naka-encrypt na pangalan ng site na naka-imbak sa password manager at mga naka-encrypt na login, password, data ng form at tala na nakaimbak sa mga site na ito. .
Para protektahan ang mga login at password sa mga site, ginamit ang AES encryption gamit ang 256-bit key na nabuo gamit ang PBKDF2 function na batay sa master password na alam lang ng user, na may minimum na sukat na 12 character. Ang pag-encrypt at pag-decryption ng mga login at password sa LastPass ay ginagawa lamang sa gilid ng gumagamit, at ang paghula ng master password ay itinuturing na hindi makatotohanan sa modernong hardware, dahil sa laki ng master password at ang inilapat na bilang ng mga pag-ulit ng PBKDF2.
Upang maisagawa ang pag-atake, ginamit nila ang data na nakuha ng mga umaatake sa huling pag-atake na naganap noong Agosto at isinagawa sa pamamagitan ng kompromiso ng account ng isa sa mga developer ng serbisyo. Ang pag-hack noong Agosto ay nagresulta sa pagkakaroon ng access sa mga attacker sa development environment, application code, at teknikal na impormasyon. Nang maglaon, lumabas na ang mga umaatake ay gumamit ng data mula sa kapaligiran ng pag-unlad upang atakehin ang isa pang developer, bilang isang resulta kung saan nakuha nila ang mga access key sa cloud storage at mga susi upang i-decrypt ang data mula sa mga lalagyan na nakaimbak doon. Ang mga nakompromisong cloud server ay nagho-host ng buong backup ng data ng serbisyo ng manggagawa.
Pinagmulan: opennet.ru