LastPass és un gestor de contrasenyes freemium que emmagatzema les contrasenyes encriptades al núvol, desenvolupat originalment per l'empresa Marvasol, Inc.
els desenvolupadors de l'administrador de contrasenyes LastPass, que és utilitzat per més de 33 milions de persones i més de 100.000 empreses, van notificar als usuaris sobre un incident en què els atacants van aconseguir accedir a còpies de seguretat de l'emmagatzematge amb les dades dels usuaris de el servei.
Les dades incloïen informació com a nom d'usuari, adreça, correu electrònic, telèfon i adreces IP des de les quals es va accedir al servei, així com noms de llocs no xifrats emmagatzemats a l'administrador de contrasenyes i inicis de sessió, contrasenyes, dades de formularis i notes xifrats emmagatzemats en aquests llocs.
Per protegir els inicis de sessió i les contrasenyes dels llocs, es va utilitzar el xifratge AES amb una clau de 256 bits generada mitjançant la funció PBKDF2 basada en una contrasenya mestra coneguda només per l'usuari, amb una mida mínima de 12 caràcters. El xifratge i desxifrat d'inicis de sessió i contrasenyes a LastPass es realitza només al costat de l'usuari, i endevinar la contrasenya mestra es considera poc realista al maquinari modern, atès la mida de la contrasenya mestra i el nombre aplicat d'iteracions de PBKDF2 .
Per dur a terme l'atac van utilitzar dades obtingudes pels atacants durant l'últim atac que va tenir lloc a l'agost i es va fer mitjançant el compromís del compte d'un dels desenvolupadors del servei.
L'atac d'agost va donar com a resultat que els atacants obtinguessin accés a l'entorn de desenvolupament, el codi de laplicació i la informació tècnica. Posteriorment va resultar que els atacants van utilitzar dades de l'entorn de desenvolupament per atacar un altre desenvolupador, per la qual cosa van aconseguir obtenir claus d'accés a l'emmagatzematge al núvol i claus per desxifrar dades dels contenidors allà emmagatzemats. Els servidors al núvol compromesos allotjaven còpies de seguretat completes de les dades del servei del treballador.
La revelació representa una actualització dramàtica d'una escletxa que LastPass va revelar a l'agost. L'editor va reconèixer que els hackers «van prendre parts del codi font i certa informació tècnica patentada de LastPass». La companyia va dir en aquell moment que les contrasenyes mestres dels clients, les contrasenyes encriptades, la informació personal i altres dades emmagatzemades als comptes dels clients no es van veure afectats.
AES de 256 bits i només es poden desxifrar amb una clau de desxifrat única derivada de la contrasenya mestra de cada usuari utilitzant la nostra arquitectura Zero Knowledge», va explicar el director executiu de LastPass, Karim Toubba, referint-se a l'Esquema de xifratge avançat. Zero Knowledge es refereix a sistemes demmagatzematge que són impossibles de desxifrar per al proveïdor de serveis. El director executiu va continuar:
També va enumerar diverses solucions que LastPass va prendre per enfortir la seva seguretat després de la violació. Els passos inclouen el desmantellament de l'entorn de desenvolupament hacker i la reconstrucció des de zero, el manteniment d'un servei de resposta i detecció de punt final administrat, i la rotació de totes les credencials i certificats rellevants que s'hi poden haver vist afectats.
Atesa la confidencialitat de les dades emmagatzemades per LastPass, és alarmant que s'hagi obtingut una gamma tan àmplia de dades personals. Si bé desxifrar hashes de contrasenyes requeriria una gran quantitat de recursos, no està descartat, especialment atès el mètode i l'enginy dels atacants.
Els clients de LastPass han d'assegurar-se d'haver canviat la contrasenya mestra i totes les contrasenyes emmagatzemades a la volta. També heu d'assegurar-vos que utilitzeu configuracions que superen la configuració predeterminada de LastPass.
Aquestes configuracions codifiquen les contrasenyes emmagatzemades usant 100100 iteracions de la funció de derivació de clau basada en contrasenya (PBKDF2), un esquema de hash que pot fer que sigui impossible desxifrar contrasenyes mestres llargues i úniques, i les 100100 iteracions generades aleatòriament del llindar de 310 iteracions recomanat per OWASP per a PBKDF000 en combinació amb l'algorisme hash SHA2 utilitzat per LastPass.
Els clients de LastPass també han d'estar molt atents als correus electrònics de phishing i les trucades telefòniques suposadament de LastPass o altres serveis que busquen dades confidencials i altres estafes que exploten les seves dades personals compromeses. L'empresa també ofereix orientació específica per als clients empresarials que han implementat els serveis d'inici de sessió federat de LastPass.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.