LastPass je freemium správce hesel, který ukládá šifrovaná hesla v cloudu, původně vyvinutý společností Marvasol, Inc.
Vývojáři správce hesel LastPass, kterou využívá více než 33 milionů lidí a více než 100.000 XNUMX společností, upozornil uživatele na incident, při kterém se útočníkům podařilo získat přístup k zálohám skladování s uživatelskými údaji ze služby.
Data zahrnovala informace, jako je uživatelské jméno, adresa, e-mail, telefon a IP adresy, ze kterých bylo ke službě přistupováno, a také nešifrované názvy stránek uložené ve správci hesel a přihlašovací údaje, hesla, data formulářů a šifrované poznámky uložené na těchto stránkách. .
K ochraně přihlašovacích údajů a hesel z webů, Bylo použito šifrování AES s 256bitovým klíčem generovaným pomocí funkce PBKDF2 na základě hlavního hesla známého pouze uživateli o minimální velikosti 12 znaků. Šifrování a dešifrování přihlašovacích údajů a hesel v LastPass se provádí pouze na straně uživatele a uhodnutí hlavního hesla je na moderním hardwaru považováno za nereálné vzhledem k velikosti hlavního hesla a použitému počtu iterací PBKDF2.
K provedení útoku použili data získaná útočníky při posledním útoku, ke kterému došlo v srpnu a byl proveden kompromitováním účtu jednoho z vývojářů služby.
Srpnový útok měl za následek, že útočníci získali přístup do vývojového prostředí, kód aplikace a technické informace. Později se ukázalo, že útočníci využili data z vývojového prostředí k útoku na jiného vývojáře, k čemuž se jim podařilo získat přístupové klíče ke cloudovému úložišti a klíče k dešifrování dat z tam uložených kontejnerů. Napadené cloudové servery hostovaly úplné zálohy servisních dat pracovníka.
Zveřejnění představuje dramatickou aktualizaci mezery, kterou LastPass odhalil v srpnu. Vydavatel připustil, že hackeři „vzali části zdrojového kódu a některé proprietární technické informace z LastPass“. Společnost tehdy uvedla, že hlavní hesla zákazníků, šifrovaná hesla, osobní údaje a další data uložená v zákaznických účtech nebyla ovlivněna.
256bitový AES a lze jej dešifrovat pouze pomocí jedinečného dešifrovacího klíče odvozeného z hlavního hesla každého uživatele pomocí naší architektury Zero Knowledge,“ vysvětlil generální ředitel LastPass Karim Toubba s odkazem na Advanced Encryption Scheme. Nulové znalosti se týkají úložných systémů, které poskytovatel služeb nemůže prolomit. Generální ředitel pokračoval:
Uvádí také několik řešení, která LastPass použil k posílení své bezpečnosti po narušení. Kroky zahrnují vyřazení napadeného vývojového prostředí z provozu a přebudování od nuly, údržbu spravované služby detekce a odezvy koncových bodů a rotaci všech relevantních pověření a certifikátů, které mohly být kompromitovány.
Vzhledem k důvěrnosti dat uložených LastPass je alarmující, že bylo získáno tak široké spektrum osobních údajů. I když by prolomení hash hesel bylo náročné na zdroje, není to vyloučené, zejména s ohledem na metodu a vynalézavost útočníků.
Zákazníci LastPass by se měli ujistit, že změnili své hlavní heslo a všechna hesla uložená ve vašem trezoru. Měli by se také ujistit, že používají nastavení, která překračují výchozí nastavení LastPass.
Tyto konfigurace zašifrují uložená hesla pomocí 100100 2 iterací funkce odvozování klíče na základě hesla (PBKDF100100), což je hašovací schéma, které může znemožnit prolomení dlouhých, jedinečných hlavních hesel, a náhodně generovaných 310 000 iterací je žalostně pod prahem 2 256 doporučeným OWASP. iterací pro PBKDFXNUMX v kombinaci s hashovacím algoritmem SHAXNUMX používaným LastPass.
Zákazníci LastPass měli by být také velmi ostražití ohledně phishingových e-mailů a telefonních hovorů, které údajně pocházejí z LastPass nebo jiné služby, které hledají citlivá data a další podvody, které zneužívají vaše kompromitované osobní údaje. Společnost také nabízí specifické pokyny pro podnikové zákazníky, kteří implementovali služby federovaného přihlášení LastPass.
Konečně, pokud máte zájem dozvědět se o tom více, můžete konzultovat podrobnosti Na následujícím odkazu.