LastPass 密碼管理器有超過 33 萬人和超過 100 家公司使用,其開發人員向用戶通報了一起事件,攻擊者設法利用該服務用戶的數據訪問存儲的備份副本。 這些數據包括訪問服務的用戶名、地址、電子郵件、電話和IP 地址等信息,以及存儲在密碼管理器中的未加密站點名稱以及存儲在這些站點中的加密登錄名、密碼、表單數據和註釋。
為了保護站點的登錄名和密碼,使用了 AES 加密,並使用 PBKDF256 函數生成的 2 位密鑰,該密鑰基於只有用戶知道的主密碼,最小長度為 12 個字符。 LastPass 中的登錄名和密碼的加密和解密僅在用戶端執行,考慮到主密碼的大小和 PBKDF2 迭代的應用數量,主密碼猜測在現代硬件上被認為是不現實的。
為了實施攻擊,他們使用了攻擊者在 XNUMX 月份發生的最後一次攻擊中獲得的數據,並通過破壞其中一名服務開發人員的帳戶來進行攻擊。 八月份的黑客攻擊導致攻擊者獲得了開發環境、應用程序代碼和技術信息的訪問權限。 後來發現,攻擊者使用開發環境中的數據攻擊另一名開發人員,從而成功獲取雲存儲的訪問密鑰以及從存儲在雲存儲的容器中解密數據的密鑰。 受損的雲服務器託管工作人員服務數據的完整備份。
來源: opennet.ru