LastPass ist ein Freemium-Passwortmanager, der verschlüsselte Passwörter in der Cloud speichert und ursprünglich von der Firma Marvasol, Inc. entwickelt wurde.
Entwickler Passwortmanager Lastpass, das von mehr als 33 Millionen Menschen und mehr als 100.000 Unternehmen genutzt wird, benachrichtigte Benutzer über einen Vorfall, bei dem es Angreifern gelang, auf Backups zuzugreifen der Lagerung mit Benutzerdaten vom Service.
Zu den Daten gehörten Informationen wie Benutzername, Adresse, E-Mail-, Telefon- und IP-Adressen, von denen aus auf den Dienst zugegriffen wurde, sowie unverschlüsselte Site-Namen, die im Passwort-Manager gespeichert sind, und Logins, Passwörter, Formulardaten und verschlüsselte Notizen, die auf diesen Sites gespeichert sind .
Zum Schutz von Logins und Passwörtern der Standorte, AES-Verschlüsselung wurde mit einem 256-Bit-Schlüssel verwendet, der mit der PBKDF2-Funktion generiert wurde basierend auf einem nur dem Benutzer bekannten Master-Passwort mit einer Mindestlänge von 12 Zeichen. Die Verschlüsselung und Entschlüsselung von Logins und Passwörtern in LastPass erfolgt nur auf der Benutzerseite, und das Erraten des Master-Passworts wird auf moderner Hardware angesichts der Größe des Master-Passworts und der angewendeten Anzahl von Iterationen von PBKDF2 als unrealistisch angesehen.
Um den Angriff durchzuführen, verwendeten sie Daten, die von den Angreifern während des letzten Angriffs im August erhalten wurden, und er wurde durchgeführt, indem das Konto eines der Dienstentwickler kompromittiert wurde.
Der August-Angriff führte dazu, dass die Angreifer Zugriff auf die Entwicklungsumgebung erhielten, Anwendungscode und technische Informationen. Später stellte sich heraus, dass die Angreifer Daten aus der Entwicklungsumgebung nutzten, um einen anderen Entwickler anzugreifen, für den sie Zugangsschlüssel zum Cloud-Speicher und Schlüssel zum Entschlüsseln von Daten aus den dort gespeicherten Containern erhalten konnten. Die kompromittierten Cloud-Server hosteten vollständige Backups der Dienstdaten des Arbeiters.
Die Offenlegung stellt eine dramatische Aktualisierung einer Lücke dar, die LastPass im August offengelegt hat. Der Herausgeber räumte ein, dass die Hacker „Teile des Quellcodes und einige proprietäre technische Informationen von LastPass mitgenommen haben“. Das Unternehmen sagte damals, dass Kundenstammpasswörter, verschlüsselte Passwörter, persönliche Informationen und andere in Kundenkonten gespeicherte Daten nicht betroffen seien.
256-Bit-AES und kann nur mit einem eindeutigen Entschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird“, erklärte Karim Toubba, CEO von LastPass, in Bezug auf das Advanced Encryption Scheme. Zero Knowledge bezieht sich auf Speichersysteme, die für den Dienstleister unmöglich zu knacken sind. Der CEO fuhr fort:
Es listete auch mehrere Lösungen auf, die LastPass ergriffen hat, um seine Sicherheit nach der Verletzung zu erhöhen. Zu den Schritten gehören die Außerbetriebnahme der gehackten Entwicklungsumgebung und der Neuaufbau von Grund auf, die Aufrechterhaltung eines verwalteten Endpoint Detection and Response Service und die Rotation aller relevanten Anmeldeinformationen und Zertifikate, die möglicherweise kompromittiert wurden.
Angesichts der Vertraulichkeit der von LastPass gespeicherten Daten ist es alarmierend, dass so viele personenbezogene Daten erlangt wurden. Das Knacken von Passwort-Hashes wäre zwar ressourcenintensiv, aber nicht ausgeschlossen, insbesondere angesichts der Methode und des Einfallsreichtums der Angreifer.
LastPass-Kunden sollten sicherstellen, dass sie ihr Master-Passwort geändert haben und alle in Ihrem Tresor gespeicherten Passwörter. Sie sollten außerdem sicherstellen, dass sie Einstellungen verwenden, die über die Standardeinstellungen von LastPass hinausgehen.
Diese Konfigurationen verschlüsseln gespeicherte Passwörter mit 100100 Iterationen der Password Based Key Derivation Function (PBKDF2), einem Hash-Schema, das es unmöglich machen kann, lange, eindeutige Master-Passwörter zu knacken, und die zufällig generierten 100100 Iterationen liegen kläglich unter dem von OWASP empfohlenen Schwellenwert von 310 Iterationen für PBKDF000 in Kombination mit dem von LastPass verwendeten SHA2-Hash-Algorithmus.
LastPass-Kunden Sie sollten auch sehr wachsam gegenüber Phishing-E-Mails und Telefonanrufen sein, die angeblich von LastPass stammen oder andere Dienste, die nach sensiblen Daten suchen, und andere Betrügereien, die Ihre kompromittierten persönlichen Daten ausnutzen. Das Unternehmen bietet auch spezifische Anleitungen für Unternehmenskunden an, die die föderierten Login-Dienste von LastPass implementiert haben.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details einsehen im folgenden Link.