LastPass je besplatni menadžer lozinki koji čuva šifrovane lozinke u oblaku, koji je prvobitno razvila kompanija Marvasol, Inc.
Programeri menadžer lozinki LastPass, koji koristi više od 33 miliona ljudi i više od 100.000 kompanija, obavijestio korisnike o incidentu u kojem su napadači uspjeli pristupiti rezervnim kopijama skladištenja sa korisničkim podacima iz usluge.
Podaci su uključivali informacije kao što su korisničko ime, adresa, e-mail, telefon i IP adrese sa kojih se pristupilo servisu, kao i nekriptirana imena web lokacija pohranjena u upravitelju lozinki i prijave, lozinke, podaci iz obrazaca i šifrirane bilješke pohranjene na ovim stranicama .
Za zaštitu prijava i lozinki sajtova, AES enkripcija je korištena sa 256-bitnim ključem generiranim korištenjem funkcije PBKDF2 na osnovu glavne lozinke poznate samo korisniku, sa minimalnom dužinom od 12 znakova. Šifrovanje i dešifrovanje prijava i lozinki u LastPass-u se vrši samo na strani korisnika, a pogađanje glavne lozinke smatra se nerealnim na modernom hardveru, s obzirom na veličinu glavne lozinke i primenjeni broj iteracija PBKDF2.
Za izvođenje napada koristili su podatke koje su napadači dobili tokom posljednjeg napada koji se dogodio u avgustu, a izveden je kompromitacijom naloga jednog od programera servisa.
Avgustovski napad je rezultirao time da su napadači dobili pristup razvojnom okruženju, kod aplikacije i tehničke informacije. Kasnije se ispostavilo da su napadači koristili podatke iz razvojnog okruženja za napad na drugog programera, za koji su uspjeli dobiti pristupne ključeve za pohranu u oblaku i ključeve za dešifriranje podataka iz kontejnera koji su tamo pohranjeni. Kompromitovani serveri u oblaku su ugostili potpune rezervne kopije uslužnih podataka radnika.
Objava predstavlja dramatičnu nadogradnju rupe koju je LastPass otkrio u avgustu. Izdavač je priznao da su hakeri "uzeli dijelove izvornog koda i neke vlasničke tehničke informacije iz LastPass-a". Kompanija je tada saopštila da to nije uticalo na glavne lozinke klijenata, šifrovane lozinke, lične podatke i druge podatke pohranjene na korisničkim nalozima.
256-bitni AES i može se dešifrirati samo jedinstvenim ključem za dešifriranje izvedenim iz glavne lozinke svakog korisnika koristeći našu arhitekturu Zero Knowledge,” objasnio je izvršni direktor LastPass-a Karim Toubba, pozivajući se na naprednu šemu šifriranja. Nulto znanje se odnosi na sisteme za skladištenje koje je nemoguće da provajder usluga probije. Generalni direktor je nastavio:
Također je navedeno nekoliko rješenja koja je LastPass poduzeo da ojača svoju sigurnost nakon proboja. Koraci uključuju dekomisioniranje hakovanog razvojnog okruženja i ponovnu izgradnju od nule, održavanje upravljane usluge otkrivanja i odgovora krajnjih tačaka, te rotiranje svih relevantnih vjerodajnica i certifikata koji su možda bili ugroženi.
S obzirom na povjerljivost podataka pohranjenih u LastPass-u, alarmantno je da je došlo do tako širokog spektra ličnih podataka. Iako bi razbijanje hešova lozinki zahtijevalo velike resurse, to nije isključeno, posebno s obzirom na metodu i domišljatost napadača.
LastPass korisnici treba da se uvere da su promenili svoju glavnu lozinku i sve lozinke pohranjene u vašem trezoru. Također bi trebali osigurati da koriste postavke koje premašuju zadane postavke LastPass-a.
Ove konfiguracije šifriraju pohranjene lozinke koristeći 100100 iteracija Funkcije izvođenja ključa zasnovane na lozinki (PBKDF2), šeme heširanja koja može onemogućiti probijanje dugih, jedinstvenih glavnih lozinki, a nasumično generiranih 100100 iteracija je užasno ispod praga od 310 koji preporučuje OWASP. iteracije za PBKDF000 u kombinaciji sa SHA2 hash algoritmom koji koristi LastPass.
LastPass kupci također bi trebali biti vrlo oprezni u pogledu phishing e-mailova i telefonskih poziva za koje se tvrdi da su s LastPass-a ili druge usluge koje traže osjetljive podatke i druge prevare koje iskorištavaju vaše ugrožene lične podatke. Kompanija takođe nudi posebne smernice za poslovne korisnike koji su implementirali LastPass federalne usluge prijavljivanja.
Konačno, ako vas zanima više o tome, možete se obratiti detaljima Na sledećem linku.