LastPass پاس ورڈ مینیجر کے ڈویلپرز، جسے 33 ملین سے زیادہ لوگ اور 100 سے زیادہ کمپنیاں استعمال کرتی ہیں، نے صارفین کو ایک واقعے کے بارے میں مطلع کیا جس میں حملہ آور سروس کے صارفین کے ڈیٹا کے ساتھ اسٹوریج کی بیک اپ کاپیوں تک رسائی حاصل کرنے میں کامیاب ہو گئے۔ ڈیٹا میں صارف نام، پتہ، ای میل، فون اور آئی پی ایڈریس جیسی معلومات شامل تھیں جن سے سروس تک رسائی حاصل کی گئی تھی، ساتھ ہی ساتھ پاس ورڈ مینیجر میں محفوظ کردہ غیر خفیہ کردہ سائٹ کے نام اور ان سائٹس میں محفوظ کردہ لاگ ان، پاس ورڈ، فارم ڈیٹا اور نوٹ شامل تھے۔
سائٹس پر لاگ ان اور پاس ورڈز کی حفاظت کے لیے، AES انکرپشن کو 256 بٹ کلید کے ساتھ استعمال کیا گیا جو PBKDF2 فنکشن کا استعمال کرتے ہوئے تیار کیا گیا ایک ماسٹر پاس ورڈ کی بنیاد پر جو صرف صارف کو معلوم ہے، جس کا سائز کم از کم 12 حروف ہے۔ LastPass میں لاگ ان اور پاس ورڈز کی انکرپشن اور ڈیکرپشن صرف صارف کی طرف سے کی جاتی ہے، اور ماسٹر پاس ورڈ کا اندازہ لگانے کو جدید ہارڈ ویئر پر غیر حقیقی سمجھا جاتا ہے، ماسٹر پاس ورڈ کے سائز اور PBKDF2 تکرار کی لاگو تعداد کو دیکھتے ہوئے
حملے کو انجام دینے کے لیے، انھوں نے اگست میں ہونے والے آخری حملے کے دوران حملہ آوروں کے حاصل کردہ ڈیٹا کا استعمال کیا اور یہ سروس کے ایک ڈویلپر کے اکاؤنٹ کے سمجھوتے کے ذریعے کیا گیا۔ اگست کے ہیک کے نتیجے میں حملہ آوروں کو ترقیاتی ماحول، ایپلیکیشن کوڈ، اور تکنیکی معلومات تک رسائی حاصل ہوئی۔ بعد میں پتہ چلا کہ حملہ آوروں نے کسی دوسرے ڈویلپر پر حملہ کرنے کے لیے ترقیاتی ماحول سے ڈیٹا استعمال کیا، جس کے نتیجے میں وہ کلاؤڈ اسٹوریج تک رسائی کی چابیاں اور وہاں رکھے ہوئے کنٹینرز سے ڈیٹا کو ڈکرپٹ کرنے کی چابیاں حاصل کرنے میں کامیاب ہوگئے۔ سمجھوتہ کرنے والے کلاؤڈ سرورز نے ورکر سروس ڈیٹا کے مکمل بیک اپ کی میزبانی کی۔
ماخذ: opennet.ru