LastPass je freemium upravitelj lozinki koji pohranjuje šifrirane lozinke u oblaku, izvorno razvijen od strane tvrtke Marvasol, Inc.
Programeri upravitelj lozinki LastPass, koji koristi više od 33 milijuna ljudi i više od 100.000 tvrtki, obavijestio korisnike o incidentu u kojem su napadači uspjeli pristupiti sigurnosnim kopijama skladištenja s korisničkim podacima iz usluge.
Podaci su uključivali informacije kao što su korisničko ime, adresa, e-pošta, telefon i IP adrese s kojih se pristupilo usluzi, kao i nekriptirana imena web-mjesta pohranjena u upravitelju zaporki i prijave, lozinke, podaci obrasca i šifrirane bilješke pohranjene na tim web-mjestima .
Za zaštitu prijava i lozinki stranica, Korištena je AES enkripcija s 256-bitnim ključem generiranim pomoću funkcije PBKDF2 na temelju glavne lozinke poznate samo korisniku, minimalne duljine 12 znakova. Šifriranje i dešifriranje prijava i lozinki u LastPassu vrši se samo na strani korisnika, a pogađanje glavne lozinke smatra se nerealnim na modernom hardveru, s obzirom na veličinu glavne lozinke i primijenjeni broj ponavljanja PBKDF2.
Za izvođenje napada koristili su se podacima do kojih su napadači došli tijekom posljednjeg napada koji se dogodio u kolovozu, a izveden je kompromitacijom računa jednog od programera usluge.
Napad u kolovozu rezultirao je time da su napadači dobili pristup razvojnom okruženju, aplikacijski kod i tehničke informacije. Kasnije se pokazalo da su napadači koristili podatke iz razvojnog okruženja za napad na drugog programera, za kojeg su uspjeli dobiti pristupne ključeve za pohranu u oblaku i ključeve za dešifriranje podataka iz tamo pohranjenih spremnika. Kompromitirani poslužitelji u oblaku ugostili su potpune sigurnosne kopije službenih podataka radnika.
Otkrivanje predstavlja dramatično ažuriranje rupe u zakonu koju je LastPass otkrio u kolovozu. Izdavač je priznao da su hakeri "uzeli dijelove izvornog koda i neke vlasničke tehničke informacije s LastPassa." Tvrtka je tada rekla da glavne lozinke kupaca, šifrirane lozinke, osobni podaci i drugi podaci pohranjeni u korisničkim računima nisu pogođeni.
256-bitni AES i može se dešifrirati samo s jedinstvenim ključem za dešifriranje koji se izvodi iz glavne lozinke svakog korisnika koristeći našu Zero Knowledge arhitekturu,” objasnio je izvršni direktor LastPass-a Karim Toubba, govoreći o naprednoj shemi šifriranja. Zero Knowledge odnosi se na sustave za pohranu podataka koje je pružatelju usluga nemoguće probiti. Glavni izvršni direktor je nastavio:
Također je navedeno nekoliko rješenja koja je LastPass poduzeo kako bi ojačao svoju sigurnost nakon proboja. Koraci uključuju deaktiviranje hakiranog razvojnog okruženja i ponovnu izgradnju od nule, održavanje upravljane usluge otkrivanja krajnje točke i odgovora te rotiranje svih relevantnih vjerodajnica i certifikata koji su možda ugroženi.
S obzirom na povjerljivost podataka koje LastPass pohranjuje, alarmantno je da je došlo do tako širokog spektra osobnih podataka. Iako bi probijanje hashova zaporki zahtijevalo mnogo resursa, nije isključeno, posebno s obzirom na metodu i domišljatost napadača.
Korisnici LastPassa trebaju provjeriti jesu li promijenili svoju glavnu lozinku i sve lozinke pohranjene u vašem trezoru. Također bi trebali osigurati da koriste postavke koje premašuju zadane LastPass postavke.
Ove konfiguracije šifriraju pohranjene lozinke koristeći 100100 ponavljanja funkcije za izvođenje ključa temeljene na zaporci (PBKDF2), sheme raspršivanja koja može onemogućiti razbijanje dugih jedinstvenih glavnih lozinki, a nasumično generiranih 100100 ponavljanja užasno je ispod praga od 310 000 ponavljanja koji preporučuje OWASP za PBKDF2 u kombinaciji s SHA256 hash algoritmom koji koristi LastPass.
Korisnici LastPass-a također bi trebali biti vrlo oprezni u pogledu phishing e-poruka i telefonskih poziva koji navodno potječu od LastPassa ili druge usluge koje traže osjetljive podatke i druge prijevare koje iskorištavaju vaše ugrožene osobne podatke. Tvrtka također nudi posebne smjernice za poslovne korisnike koji su implementirali LastPass usluge objedinjene prijave.
Konačno, ako vas zanima više o tome, možete se posavjetovati s pojedinostima U sljedećem linku.