LastPass е freemium мениджър на пароли, който съхранява криптирани пароли в облака, първоначално разработен от компанията Marvasol, Inc.
Разработчици мениджър на пароли LastPass, който се използва от повече от 33 милиона души и повече от 100.000 XNUMX компании, уведоми потребителите за инцидент, при който нападателите са успели да получат достъп до резервни копия на съхранение с потребителски данни от обслужване.
Данните включват информация като потребителско име, адрес, имейл, телефон и IP адреси, от които е осъществен достъп до услугата, както и некриптирани имена на сайтове, съхранени в мениджъра на пароли и данни за вход, пароли, данни от формуляри и криптирани бележки, съхранени на тези сайтове .
За защита на влизания и пароли на сайтовете, Използвано е AES криптиране с 256-битов ключ, генериран с помощта на функцията PBKDF2 въз основа на главна парола, известна само на потребителя, с минимална дължина от 12 знака. Шифроването и декриптирането на влизания и пароли в LastPass се извършва само от страна на потребителя и отгатването на главната парола се счита за нереалистично на съвременния хардуер, като се има предвид размера на главната парола и приложения брой итерации на PBKDF2.
За да извършат атаката, те използваха данни, получени от нападателите по време на последната атака, извършена през август и тя беше извършена чрез компрометиране на акаунта на един от разработчиците на услугата.
Атаката през август доведе до това, че нападателите получиха достъп до средата за разработка, код на приложението и техническа информация. По-късно се оказа, че нападателите са използвали данни от средата за разработка, за да атакуват друг разработчик, за който са успели да получат ключове за достъп до облачно хранилище и ключове за дешифриране на данни от съхраняваните там контейнери. Компрометираните облачни сървъри хостваха пълни резервни копия на данните за услугата на работника.
Разкриването представлява драматична актуализация на вратичка, която LastPass разкри през август. Издателят признава, че хакерите са "взели части от изходния код и част от частната техническа информация от LastPass." По това време компанията каза, че главните пароли на клиентите, криптираните пароли, личната информация и други данни, съхранявани в клиентските акаунти, не са засегнати.
256-битов AES и може да бъде декриптиран само с уникален ключ за декриптиране, извлечен от главната парола на всеки потребител, използвайки нашата архитектура с нулево знание“, обясни главният изпълнителен директор на LastPass Карим Туба, позовавайки се на схемата за усъвършенствано криптиране. Zero Knowledge се отнася до системи за съхранение, които е невъзможно за доставчика на услуги да пробие. Главният изпълнителен директор продължи:
Той също така изброи няколко решения, които LastPass предприе, за да подобри сигурността си след пробива. Стъпките включват извеждане от експлоатация на хакната среда за разработка и възстановяване от нулата, поддържане на управлявана услуга за откриване и отговор на крайна точка и ротация на всички съответни идентификационни данни и сертификати, които може да са били компрометирани.
Като се има предвид поверителността на данните, съхранявани от LastPass, е тревожно, че е получен такъв широк набор от лични данни. Въпреки че кракването на хешове на пароли би изисквало много ресурси, това не е изключено, особено предвид метода и изобретателността на нападателите.
Клиентите на LastPass трябва да се уверят, че са променили своята главна парола и всички пароли, съхранени във вашия трезор. Те също така трябва да се уверят, че използват настройки, които надвишават настройките на LastPass по подразбиране.
Тези конфигурации кодират съхранени пароли, използвайки 100100 2 итерации на базираната на парола функция за извличане на ключ (PBKDF100100), схема за хеширане, която може да направи невъзможно разбиването на дълги уникални главни пароли, а произволно генерираните 310 000 итерации са много под препоръчания от OWASP праг от 2 256 итерации за PBKDFXNUMX в комбинация с хеш алгоритъма SHAXNUMX, използван от LastPass.
Клиенти на LastPass те също трябва да бъдат много бдителни за фишинг имейли и телефонни обаждания, за които се твърди, че са от LastPass или други услуги, които търсят чувствителни данни и други измами, които използват вашите компрометирани лични данни. Компанията също така предлага конкретни насоки за корпоративни клиенти, които са внедрили LastPass обединени услуги за влизане.
И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.