LastPass-rugsteun van gebruikersdata is gekompromitteer

Donkerkrizt | | Opgedateer op | Nuus

Geen kommentaar nie

LastPass

LastPass is 'n freemium wagwoordbestuurder wat geënkripteerde wagwoorde in die wolk stoor, oorspronklik ontwikkel deur die maatskappy Marvasol, Inc.

Ontwikkelaars wagwoord bestuurder LastPass, wat deur meer as 33 miljoen mense en meer as 100.000 XNUMX maatskappye gebruik word, gebruikers in kennis gestel van 'n voorval waarin aanvallers toegang tot rugsteun gekry het van berging met gebruikersdata vanaf diens.

Die data het inligting ingesluit soos gebruikersnaam, adres, e-pos, telefoon en IP-adresse waarvandaan toegang tot die diens verkry is, sowel as ongeënkripteerde werfname wat in die wagwoordbestuurder gestoor is en aanmeldings, wagwoorde, vormdata en geënkripteerde notas wat op hierdie werwe gestoor is. .

Om logins en wagwoorde te beskerm van die werwe, AES-enkripsie is gebruik met 'n 256-bis-sleutel wat met die PBKDF2-funksie gegenereer is gebaseer op 'n hoofwagwoord wat slegs aan die gebruiker bekend is, met 'n minimum grootte van 12 karakters. Enkripsie en dekripsie van aanmeldings en wagwoorde in LastPass word slegs aan die gebruikerskant gedoen, en om die hoofwagwoord te raai, word as onrealisties beskou op moderne hardeware, gegewe die grootte van die hoofwagwoord en die toegepaste aantal iterasies van PBKDF2.

Om die aanval uit te voer, het hulle data gebruik wat deur die aanvallers verkry is tydens die laaste aanval wat in Augustus plaasgevind het en dit is uitgevoer deur die rekening van een van die diensontwikkelaars te kompromitteer.

Die Augustus-aanval het daartoe gelei dat die aanvallers toegang tot die ontwikkelingsomgewing gekry het, toepassingskode en tegniese inligting. Later het dit geblyk dat die aanvallers data van die ontwikkelingsomgewing gebruik het om 'n ander ontwikkelaar aan te val, waarvoor hulle daarin geslaag het om toegangssleutels tot wolkberging te bekom en sleutels om data te dekripteer van die houers wat daar gestoor is. Die gekompromitteerde wolkbedieners het volledige rugsteun van die werker se diensdata gehuisves.

Die openbaarmaking verteenwoordig 'n dramatiese opdatering van 'n skuiwergat wat LastPass in Augustus bekend gemaak het. Die uitgewer het erken dat die kuberkrakers "dele van die bronkode en sekere eie tegniese inligting van LastPass geneem het." Die maatskappy het destyds gesê klante se hoofwagwoorde, geënkripteerde wagwoorde, persoonlike inligting en ander data wat in klanterekeninge gestoor is, is nie geraak nie.

256-bis AES en kan slegs gedekripteer word met 'n unieke dekripsiesleutel afgelei van elke gebruiker se hoofwagwoord deur ons Zero Knowledge-argitektuur te gebruik,” het Karim Toubba, uitvoerende hoof van LastPass, verduidelik met verwysing na die Gevorderde Enkripsieskema. Zero Knowledge verwys na bergingstelsels wat onmoontlik is vir die diensverskaffer om te kraak. Die HUB het voortgegaan:

Dit het ook verskeie oplossings gelys wat LastPass geneem het om sy sekuriteit ná die oortreding te versterk. Stappe sluit in die ontmanteling van die gehackte ontwikkelingsomgewing en die herbou van nuuts af, die handhawing van 'n bestuurde eindpuntopsporing- en reaksiediens, en die rotering van alle relevante geloofsbriewe en sertifikate wat moontlik gekompromitteer is.

Gegewe die vertroulikheid van die data wat deur LastPass gestoor word, is dit kommerwekkend dat so 'n wye verskeidenheid persoonlike data verkry is. Alhoewel die kraak van wagwoord-hashes hulpbronintensief sou wees, is dit nie buite die kwessie nie, veral gegewe die metode en vindingrykheid van die aanvallers.

LastPass-kliënte moet seker maak dat hulle hul hoofwagwoord verander het en alle wagwoorde wat in jou kluis gestoor is. Hulle moet ook verseker dat hulle instellings gebruik wat die standaard LastPass-instellings oorskry.

Hierdie konfigurasies deurmekaar gestoorde wagwoorde deur gebruik te maak van 100100 iterasies van die Password Based Key Derivation Function (PBKDF2), 'n hashing-skema wat dit onmoontlik kan maak om lang, unieke hoofwagwoorde te kraak, en die lukraak gegenereerde 100100 iterasies is ongelukkig onder OWASP-aanbevole drempel van 310 iterasies vir PBKDF000 in kombinasie met die SHA2 hash-algoritme wat deur LastPass gebruik word.

LastPass-kliënte hulle moet ook baie waaksaam wees oor phishing-e-posse en telefoonoproepe wat voorgee om van LastPass af te kom of ander dienste wat sensitiewe data soek en ander swendelary wat jou gekompromitteerde persoonlike data uitbuit. Die maatskappy bied ook spesifieke leiding vir ondernemingskliënte wat LastPass-federatiewe aanmelddienste geïmplementeer het.

Uiteindelik kan u die besonderhede raadpleeg as u meer daaroor wil weet In die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.