LastPass er en freemium password manager, der gemmer krypterede adgangskoder i skyen, oprindeligt udviklet af firmaet Marvasol, Inc.
Udviklere password manager LastPass, som bruges af mere end 33 millioner mennesker og mere end 100.000 virksomheder, underrettet brugere om en hændelse, hvor angribere formåede at få adgang til sikkerhedskopier af opbevaring med brugerdata fra service.
Dataene omfattede oplysninger såsom brugernavn, adresse, e-mail, telefon og IP-adresser, hvorfra tjenesten blev tilgået, såvel som ukrypterede webstedsnavne gemt i adgangskodeadministratoren og logins, adgangskoder, formulardata og krypterede noter gemt på disse websteder. .
For at beskytte logins og adgangskoder af webstederne, AES-kryptering blev brugt med en 256-bit nøgle genereret ved hjælp af PBKDF2-funktionen baseret på en hovedadgangskode, som kun er kendt af brugeren, med en minimumstørrelse på 12 tegn. Kryptering og dekryptering af logins og adgangskoder i LastPass udføres kun på brugersiden, og at gætte hovedadgangskoden anses for at være urealistisk på moderne hardware, givet størrelsen af hovedadgangskoden og det anvendte antal iterationer af PBKDF2.
For at udføre angrebet brugte de data indhentet af angriberne under det sidste angreb, der fandt sted i august, og det blev udført ved at kompromittere kontoen til en af tjenesteudviklerne.
August-angrebet resulterede i, at angriberne fik adgang til udviklingsmiljøet, applikationskode og tekniske oplysninger. Senere viste det sig, at angriberne brugte data fra udviklingsmiljøet til at angribe en anden udvikler, hvortil det lykkedes at få adgangsnøgler til cloud-lager og nøgler til at dekryptere data fra de containere, der var gemt der. De kompromitterede cloud-servere var vært for fuld sikkerhedskopiering af arbejderens servicedata.
Afsløringen repræsenterer en dramatisk opdatering af et smuthul, som LastPass afslørede i august. Udgiveren erkendte, at hackerne "tog dele af kildekoden og nogle proprietære tekniske oplysninger fra LastPass." Virksomheden sagde på det tidspunkt, at kundernes hovedadgangskoder, krypterede adgangskoder, personlige oplysninger og andre data gemt på kundekonti ikke blev påvirket.
256-bit AES og kan kun dekrypteres med en unik dekrypteringsnøgle afledt af hver brugers hovedadgangskode ved hjælp af vores Zero Knowledge-arkitektur,” forklarede LastPass CEO Karim Toubba med henvisning til Advanced Encryption Scheme. Zero Knowledge refererer til lagersystemer, som er umulige for tjenesteudbyderen at knække. Den administrerende direktør fortsatte:
Det listede også flere løsninger, som LastPass tog for at styrke sin sikkerhed efter bruddet. Trin omfatter dekommissionering af det hackede udviklingsmiljø og genopbygning fra bunden, vedligeholdelse af en administreret slutpunktsdetektions- og responstjeneste og rotation af alle relevante legitimationsoplysninger og certifikater, der kan være blevet kompromitteret.
I betragtning af fortroligheden af de data, der er lagret af LastPass, er det alarmerende, at der er indhentet en så bred vifte af personlige data. Selvom det ville være ressourcekrævende at knække password-hash, er det ikke udelukket, især i betragtning af angribernes metode og opfindsomhed.
LastPass-kunder skal sikre sig, at de har ændret deres hovedadgangskode og alle adgangskoder gemt i din boks. De bør også sikre, at de bruger indstillinger, der overstiger standardindstillingerne for LastPass.
Disse konfigurationer forvrider lagrede adgangskoder ved hjælp af 100100 iterationer af Password Based Key Derivation Function (PBKDF2), et hashing-skema, der kan gøre det umuligt at knække lange, unikke hovedadgangskoder, og de tilfældigt genererede 100100 iterationer er desværre under OWASP-anbefalet tærskel på 310 iterationer for PBKDF000 i kombination med SHA2 hash-algoritmen brugt af LastPass.
LastPass kunder de bør også være meget opmærksomme på phishing-e-mails og telefonopkald, der foregiver at være fra LastPass eller andre tjenester, der søger følsomme data og andre svindelnumre, der udnytter dine kompromitterede personlige data. Virksomheden tilbyder også specifik vejledning til virksomhedskunder, der har implementeret LastPass fødererede login-tjenester.
Endelig, hvis du er interesseret i at vide mere om det, kan du se detaljerne I det følgende link.