33 milliondan ortiq odam va 100 mingdan ortiq kompaniyalar foydalanadigan LastPass parol menejeri ishlab chiquvchilari foydalanuvchilarga voqea haqida xabar berishdi, buning natijasida tajovuzkorlar xizmat foydalanuvchilari maʼlumotlari bilan xotiraning zaxira nusxalariga kirishga muvaffaq boʻlishdi. . Ma'lumotlarga xizmatga kirgan foydalanuvchi nomi, manzili, elektron pochta manzili, telefon va IP manzillari, shuningdek parol menejerida saqlangan shifrlanmagan sayt nomlari va shifrlangan tizimda saqlangan ushbu saytlar uchun loginlar, parollar, shakl ma'lumotlari va qaydlar kiradi. shakl..
Saytlar uchun login va parollarni himoya qilish uchun AES shifrlash faqat foydalanuvchiga maʼlum boʻlgan, minimal oʻlchami 256 belgidan iborat boʻlgan asosiy parolga asoslangan PBKDF2 funksiyasi yordamida yaratilgan 12 bitli kalit bilan ishlatilgan. LastPass-da login va parollarni shifrlash va parolini hal qilish faqat foydalanuvchi tomonida amalga oshiriladi va asosiy parolni taxmin qilish zamonaviy uskunada, asosiy parolning o'lchami va ishlatiladigan PBKDF2 iteratsiyalari sonini hisobga olgan holda haqiqiy emas deb hisoblanadi.
Hujumni amalga oshirish uchun ular avgust oyida sodir bo'lgan va xizmatni ishlab chiquvchilardan birining akkauntini buzish orqali sodir etilgan avvalgi hujum paytida hujumchilar tomonidan olingan ma'lumotlardan foydalanganlar. Avgust oyidagi buzg'unchilik natijasida tajovuzkorlar ishlab chiqish muhiti, dastur kodlari va texnik ma'lumotlarga kirish huquqiga ega bo'ldi. Keyinchalik ma'lum bo'lishicha, hujumchilar boshqa dasturchiga hujum qilish uchun ishlab chiqish muhitidagi ma'lumotlardan foydalangan, buning natijasida ular bulutli xotiraga kirish kalitlari va u erda saqlanadigan konteynerlardan ma'lumotlarni shifrlash kalitlarini olishga muvaffaq bo'lishgan. Buzilgan bulutli serverlar ishlab chiqarish xizmati ma'lumotlarining to'liq zaxira nusxalarini joylashtirdi.
Manba: opennet.ru