پشتیبان‌گیری از داده‌های کاربر LastPass به خطر افتاد

توسعه دهندگان مدیر رمز عبور برنامه LastPassکه توسط بیش از 33 میلیون نفر و بیش از 100.000 شرکت استفاده می شود. کاربران را از حادثه‌ای که در آن مهاجمان موفق به دسترسی به نسخه‌های پشتیبان شده بودند، مطلع کرد ذخیره سازی با داده های کاربر از خدمات

این داده‌ها شامل اطلاعاتی مانند نام کاربری، آدرس، ایمیل، تلفن و آدرس‌های IP بود که از طریق آنها به سرویس دسترسی پیدا می‌شد، همچنین نام‌های سایت رمزگذاری نشده ذخیره‌شده در مدیریت رمز عبور و لاگین‌ها، گذرواژه‌ها، داده‌های فرم و یادداشت‌های رمزگذاری‌شده ذخیره‌شده در این سایت‌ها بود. .

برای محافظت از ورود و رمز عبور از سایت ها، رمزگذاری AES با یک کلید 256 بیتی تولید شده با استفاده از تابع PBKDF2 استفاده شد بر اساس رمز عبور اصلی که فقط برای کاربر شناخته شده است، با حداقل طول 12 کاراکتر. رمزگذاری و رمزگشایی لاگین ها و رمزهای عبور در LastPass فقط در سمت کاربر انجام می شود و با توجه به اندازه رمز عبور اصلی و تعداد تکرارهای اعمال شده PBKDF2، حدس زدن رمز اصلی در سخت افزار مدرن غیر واقعی تلقی می شود.

برای انجام این حمله، آنها از داده های به دست آمده توسط مهاجمان در آخرین حمله ای که در ماه آگوست رخ داد و با به خطر انداختن حساب یکی از توسعه دهندگان سرویس انجام شد، استفاده کردند.

حمله اوت منجر به دسترسی مهاجمان به محیط توسعه شد، کد برنامه و اطلاعات فنی. بعداً مشخص شد که مهاجمان از داده‌های محیط توسعه برای حمله به توسعه‌دهنده دیگری استفاده کرده‌اند که برای آن موفق شده‌اند کلیدهای دسترسی به فضای ذخیره‌سازی ابری و کلیدهای رمزگشایی داده‌ها را از کانتینرهای ذخیره شده در آنجا به دست آورند. سرورهای ابری در معرض خطر، پشتیبان‌گیری کامل از داده‌های سرویس کارگر را میزبانی می‌کردند.

افشای یک به‌روزرسانی چشمگیر برای حفره‌ای است که LastPass در ماه اوت فاش کرد. ناشر اذعان کرد که هکرها "بخش هایی از کد منبع و برخی اطلاعات فنی اختصاصی را از LastPass گرفته اند." این شرکت در آن زمان اعلام کرد که گذرواژه‌های اصلی مشتری، رمزهای رمزگذاری شده، اطلاعات شخصی و سایر داده‌های ذخیره‌شده در حساب‌های مشتریان تحت تأثیر قرار نگرفتند.

کریم توبا، مدیر عامل LastPass، کریم توبا، با اشاره به طرح رمزگذاری پیشرفته توضیح داد: AES 256 بیتی و تنها با یک کلید رمزگشایی منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر با استفاده از معماری Zero Knowledge قابل رمزگشایی است. Zero Knowledge به سیستم های ذخیره سازی اطلاق می شود که شکستن آنها برای ارائه دهنده خدمات غیرممکن است. مدیرعامل ادامه داد:

همچنین راه‌حل‌های متعددی را که LastPass برای تقویت امنیت خود پس از رخنه استفاده کرد، فهرست کرده است. مراحل شامل از کار انداختن محیط توسعه هک شده و بازسازی از ابتدا، حفظ یک سرویس شناسایی و پاسخ مدیریت نقطه پایانی، و چرخش تمام اعتبارنامه‌ها و گواهی‌های مربوطه است که ممکن است در معرض خطر قرار گرفته باشند.

با توجه به محرمانه بودن داده های ذخیره شده توسط LastPass، این هشدار دهنده است که چنین طیف گسترده ای از داده های شخصی به دست آمده است. در حالی که شکستن هش رمز عبور نیاز به منابع زیادی دارد، به خصوص با توجه به روش و هوشمندی مهاجمان، دور از ذهن نیست.

مشتریان LastPass باید مطمئن شوند که رمز عبور اصلی خود را تغییر داده اند و تمام رمزهای عبور ذخیره شده در صندوق شما. آنها همچنین باید اطمینان حاصل کنند که از تنظیماتی استفاده می کنند که بیش از تنظیمات پیش فرض LastPass است.

این پیکربندی ها رمزهای عبور ذخیره شده را با استفاده از 100100 تکرار از تابع استخراج کلید مبتنی بر رمز عبور (PBKDF2) به هم می ریزند، یک طرح هش که می تواند شکستن رمزهای عبور اصلی و منحصر به فرد را غیرممکن کند، و 100100 تکرار تولید شده به طور تصادفی تحت 310، OWASP-thresholdedcom است. تکرار برای PBKDF000 در ترکیب با الگوریتم هش SHA2 مورد استفاده توسط LastPass.

مشتریان LastPass آنها همچنین باید در مورد ایمیل های فیشینگ و تماس های تلفنی که ادعا می شود از LastPass هستند بسیار هوشیار باشند. یا سایر خدماتی که به دنبال داده های حساس و سایر کلاهبرداری هایی هستند که از داده های شخصی به خطر افتاده شما سوء استفاده می کنند. این شرکت همچنین برای مشتریان سازمانی که خدمات لاگین فدرال LastPass را پیاده سازی کرده اند، راهنمایی های خاصی ارائه می دهد.

در نهایت ، اگر علاقمند به دانستن اطلاعات بیشتر در مورد آن هستید ، می توانید از جزئیات مشورت کنید در لینک زیر.