LastPass 密码管理器有超过 33 万人和超过 100 家公司使用,其开发人员已向用户通报了一起事件,攻击者设法利用该服务用户的数据访问存储的备份副本。 这些数据包括访问服务的用户名、地址、电子邮件、电话和 IP 地址等信息,以及存储在密码管理器中的未加密站点名称以及存储在这些站点中的加密登录名、密码、表单数据和注释。
为了保护站点的登录名和密码,使用了 AES 加密,并使用 PBKDF256 函数生成的 2 位密钥,该密钥基于只有用户知道的主密码,最小长度为 12 个字符。 LastPass 中的登录名和密码的加密和解密仅在用户端执行,考虑到主密码的大小和 PBKDF2 迭代的应用数量,主密码猜测在现代硬件上被认为是不现实的。
为了实施攻击,他们使用了攻击者在 XNUMX 月份发生的最后一次攻击中获得的数据,该数据是通过泄露该服务开发人员之一的帐户来进行的。 八月份的黑客攻击导致攻击者获得了开发环境、应用程序代码和技术信息的访问权限。 后来发现,攻击者利用开发环境中的数据攻击另一名开发人员,从而成功获取云存储的访问密钥以及从存储在云存储的容器中解密数据的密钥。 受损的云服务器托管了工作人员服务数据的完整备份。
来源: opennet.ru