LastPass 密碼管理器有超過 33 萬人和超過 100 家公司使用,其開發人員向用戶通報了一起事件,攻擊者設法利用該服務用戶的數據訪問存儲的備份副本。 這些數據包括訪問服務的用戶名、地址、電子郵件、電話和IP 地址等信息,以及存儲在密碼管理器中的未加密站點名稱以及存儲在這些站點中的加密登錄名、密碼、表單數據和註釋。
為了保護站點的登錄名和密碼,使用了 AES 加密,並使用 PBKDF256 函數生成的 2 位密鑰,該密鑰基於只有用戶知道的主密碼,最小長度為 12 個字符。 LastPass 中的登錄名和密碼的加密和解密僅在用戶端執行,考慮到主密碼的大小和 PBKDF2 迭代的應用數量,主密碼猜測在現代硬件上被認為是不現實的。
這次攻擊利用了攻擊者在8月的一次攻擊中所獲得的資料。那次攻擊涉及入侵該服務一位開發人員的帳戶。 8月份的攻擊導致攻擊者獲得了開發環境、應用程式程式碼和技術資訊的存取權限。後來發現,攻擊者利用從開發環境中獲取的資料攻擊了另一位開發人員,從而獲得了雲端儲存的存取金鑰以及儲存在其中的容器的解密金鑰。受損的雲端服務 伺服器 已放置工作服務資料的完整備份副本。
來源: opennet.ru
