LastPass on freemium-salasanahallinta, joka tallentaa salattuja salasanoja pilveen ja jonka alun perin on kehittänyt yritys Marvasol, Inc.
Kehittäjät salasanan hallinta LastPass, jota käyttää yli 33 miljoonaa ihmistä ja yli 100.000 XNUMX yritystä, ilmoitti käyttäjille tapauksesta, jossa hyökkääjät pääsivät käsiksi varmuuskopioihin varastoinnista käyttäjätietojen kanssa palvelusta.
Tiedot sisälsivät tietoja, kuten käyttäjätunnus, osoite, sähköpostiosoite, puhelin ja IP-osoitteet, joista palveluun käytiin, sekä salasanojen hallintaan tallennetut salaamattomat sivustojen nimet ja näille sivustoille tallennetut kirjautumistunnukset, salasanat, lomaketiedot ja salatut muistiinpanot. .
Kirjautumistunnusten ja salasanojen suojaamiseksi sivustoista, AES-salausta käytettiin 256-bittisellä avaimella, joka luotiin PBKDF2-toiminnolla perustuu vain käyttäjän tuntemaan pääsalasanaan, jonka vähimmäiskoko on 12 merkkiä. Kirjautumistunnusten ja salasanojen salaus ja salauksen purkaminen LastPassissa tapahtuu vain käyttäjän puolella, ja pääsalasanan arvailua pidetään epärealistisena nykyaikaisissa laitteistoissa, kun otetaan huomioon pääsalasanan koko ja PBKDF2:n iteraatioiden määrä.
Hyökkäyksen toteuttamiseen käytettiin tietoja, jotka hyökkääjät olivat saaneet viimeisen elokuussa tapahtuneen hyökkäyksen aikana ja se toteutettiin vaarantamalla yhden palvelun kehittäjän tili.
Elokuun hyökkäys johti siihen, että hyökkääjät pääsivät kehitysympäristöön, sovelluskoodi ja tekniset tiedot. Myöhemmin kävi ilmi, että hyökkääjät käyttivät kehitysympäristön tietoja hyökätäkseen toisen kehittäjän kimppuun, jota varten he onnistuivat hankkimaan pääsyavaimet pilvitallennustilaan ja avaimet tietojen salauksen purkamiseen sinne tallennetuista konteista. Vaaralliset pilvipalvelimet isännöivät täydellisiä varmuuskopioita työntekijän palvelutiedoista.
Ilmoitus edustaa dramaattista päivitystä porsaanreikään, jonka LastPass paljasti elokuussa. Julkaisija myönsi, että hakkerit "veivät osan lähdekoodista ja joitain patentoituja teknisiä tietoja LastPassista". Yhtiö sanoi tuolloin, että asiakkaiden pääsalasanat, salatut salasanat, henkilötiedot ja muut asiakastileihin tallennetut tiedot eivät vaikuttaneet.
256-bittinen AES, ja se voidaan purkaa vain ainutlaatuisella salauksen purkuavaimella, joka on johdettu kunkin käyttäjän pääsalasanoista käyttämällä Zero Knowledge -arkkitehtuuriamme", selitti LastPassin toimitusjohtaja Karim Toubba viitaten Advanced Encryption Scheme -järjestelmään. Zero Knowledge viittaa tallennusjärjestelmiin, joita palveluntarjoaja ei pysty murtamaan. Toimitusjohtaja jatkoi:
Se listasi myös useita ratkaisuja, joita LastPass otti vahvistaakseen turvallisuuttaan loukkauksen jälkeen. Vaiheisiin kuuluu hakkeroidun kehitysympäristön purkaminen ja uudelleenrakentaminen tyhjästä, hallitun päätepisteiden tunnistus- ja vastauspalvelun ylläpitäminen sekä kaikkien asiaankuuluvien valtuustietojen ja sertifikaattien vaihtaminen, jotka ovat saaneet vaarantua.
LastPassin tallentamien tietojen luottamuksellisuuden vuoksi on hälyttävää, että näin laaja valikoima henkilötietoja on saatu. Vaikka salasanojen hajautusten murtaminen vaatisi resursseja, se ei ole poissuljettu, varsinkin kun otetaan huomioon hyökkääjien menetelmä ja kekseliäisyys.
LastPass-asiakkaiden tulee varmistaa, että he ovat vaihtaneet pääsalasanansa ja kaikki holviin tallennetut salasanat. Heidän tulee myös varmistaa, että he käyttävät asetuksia, jotka ylittävät LastPass-oletusasetukset.
Nämä kokoonpanot sekoittavat tallennettuja salasanoja käyttämällä 100100 2 iteraatiota PBKDF100100-salasanapohjaisesta avainjohdannaisfunktiosta. Hajautusjärjestelmä voi tehdä pitkien, ainutlaatuisten pääsalasanojen murtamisen mahdottomaksi, ja satunnaisesti luodut 310 000 iteraatiota on valitettavan alle OWASP:n suositteleman kynnyksen 2. iteraatiot PBKDF256:lle yhdessä LastPassin käyttämän SHAXNUMX-hajautusalgoritmin kanssa.
LastPass-asiakkaat heidän tulee myös olla erittäin valppaina tietokalasteluviesteistä ja puheluista, joiden väitetään olevan peräisin LastPassista tai muut palvelut, jotka etsivät arkaluonteisia tietoja ja muita huijauksia, jotka käyttävät hyväkseen vaarantuneita henkilötietojasi. Yritys tarjoaa myös erityistä opastusta yritysasiakkaille, jotka ovat ottaneet käyttöön LastPass Federated -kirjautumispalvelut.
Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohtiin Seuraavassa linkissä.