Розробники менеджера паролів LastPass, яким користується понад 33 млн осіб та понад 100 тисяч компаній, повідомили користувачів про інцидент, внаслідок якого атакуючим вдалося отримати доступ до резервних копій сховища з даними користувачів сервісу. Дані включали такі відомості, як ім'я користувача, адресу, email, телефон та IP-адреси з яких був вхід до сервісу, а також збережені в менеджері паролів незашифровані імена сайтів та збережені у зашифрованому вигляді логіни, паролі, дані форм та примітки до цих сайтів .
Для захисту логінів та паролів до сайтів використовувалося шифрування AES з 256-розрядним ключем, що генерується з використанням функції PBKDF2 на основі відомого лише користувачеві майстер-паролю, розміром мінімум 12 символів. Шифрування та розшифрування логінів і паролів у LastPass здійснюється тільки на стороні користувача, а підбір майстер-паролю розглядається як нереалістичний на сучасному устаткуванні, враховуючи розмір майстер-паролю та застосоване число ітерацій PBKDF2.
Для здійснення атаки використовувалися дані, отримані атакуючими в ході минулої атаки, що відбулася в серпні і здійснена компрометацією облікового запису одного з розробників сервісу. Августовський злом призвів до потрапляння до рук зловмисників доступу до оточення для розробки, коду програми та технічної інформації. Пізніше з'ясувалося, що атакуючі скористалися даними з середовища для розробки для атаки на іншого розробника, в результаті якої вдалося отримати ключі доступу до хмарного сховища і ключі для розшифрування даних контейнерів, що зберігаються там. На компрометованих хмарних серверах розміщувалися повні резервні копії даних робочого сервісу.
Джерело: opennet.ru