A LastPass egy ingyenes jelszókezelő, amely a titkosított jelszavakat a felhőben tárolja, és amelyet eredetileg a Marvasol, Inc. fejlesztett ki.
Fejlesztők jelszókezelő LastPass, amelyet több mint 33 millió ember és több mint 100.000 XNUMX cég használ, értesítette a felhasználókat egy olyan eseményről, amelyben a támadóknak sikerült hozzáférniük a biztonsági másolatokhoz a tárolás felhasználói adatokkal szolgálatból.
Az adatok olyan információkat tartalmaztak, mint a felhasználónév, cím, e-mail, telefon és IP-címek, amelyekről a szolgáltatást elérték, valamint a jelszókezelőben tárolt titkosítatlan webhelynevek, valamint az ezeken az oldalakon tárolt bejelentkezési adatok, jelszavak, űrlapadatok és titkosított megjegyzések. .
A bejelentkezések és jelszavak védelme érdekében az oldalak közül, Az AES titkosítást a PBKDF256 funkcióval generált 2 bites kulccsal használták csak a felhasználó által ismert mesterjelszó alapján, minimum 12 karakter hosszúsággal. A LastPass bejelentkezési és jelszavak titkosítása és visszafejtése csak a felhasználói oldalon történik, és a fő jelszó kitalálása a modern hardveren irreális, tekintettel a fő jelszó méretére és a PBKDF2 ismétlődéseinek számára.
A támadás végrehajtásához a támadók által a legutóbbi augusztusi támadás során megszerzett adatokat használták fel, és azt az egyik szolgáltatásfejlesztő fiókjának feltörésével hajtották végre.
Az augusztusi támadás eredményeként a támadók hozzáfértek a fejlesztői környezethez, alkalmazáskód és technikai információk. Később kiderült, hogy a támadók a fejlesztőkörnyezet adatait használták fel egy másik fejlesztő megtámadására, amihez sikerült hozzáférési kulcsokat szerezniük a felhőtárhelyhez, illetve az ott tárolt konténerekből az adatok visszafejtéséhez szükséges kulcsokat. A feltört felhőkiszolgálók teljes biztonsági másolatot készítettek a dolgozó szolgáltatási adatairól.
A közzététel a LastPass augusztusban nyilvánosságra hozott kiskapu drámai frissítése. A kiadó elismerte, hogy a hackerek "a forráskód egy részét és néhány védett műszaki információt átvették a LastPass-tól". A cég akkor azt közölte, hogy az ügyfelek fő jelszavait, titkosított jelszavait, személyes adatait és az ügyfélfiókokban tárolt egyéb adatokat ez nem érinti.
256 bites AES, és csak egyedi visszafejtési kulccsal lehet visszafejteni, amely az egyes felhasználók fő jelszavából származik a Zero Knowledge architektúránk segítségével” – magyarázta Karim Toubba, a LastPass vezérigazgatója az Advanced Encryption Scheme-re utalva. A Zero Knowledge olyan tárolórendszerekre utal, amelyeket a szolgáltató nem képes feltörni. A vezérigazgató így folytatta:
Számos olyan megoldást is felsorolt, amelyeket a LastPass a biztonságának megerősítése érdekében tett a jogsértés után. A lépések közé tartozik a feltört fejlesztői környezet leszerelése és a nulláról történő újjáépítés, a felügyelt végpont-észlelési és válaszszolgáltatás fenntartása, valamint az összes releváns hitelesítő adat és tanúsítvány cseréje, amely feltörhetett.
Tekintettel a LastPass által tárolt adatok titkosságára, riasztó, hogy ilyen széles körű személyes adatokhoz jutottak. Bár a jelszókivonatok feltörése erőforrásigényes lenne, ez nem kizárt, különösen a támadók módszere és találékonysága miatt.
A LastPass ügyfeleknek meg kell győződniük arról, hogy megváltoztatták fő jelszavukat és a trezorában tárolt összes jelszót. Biztosítaniuk kell azt is, hogy olyan beállításokat használjanak, amelyek meghaladják az alapértelmezett LastPass-beállításokat.
Ezek a konfigurációk a tárolt jelszavakat a Password Based Key Derivation Function (PBKDF100100) 2 iterációjával keverik össze. Ez a kivonatolási séma lehetetlenné teszi a hosszú, egyedi mesterjelszavak feltörését, és a véletlenszerűen generált 100100 iteráció sajnálatos módon az OWASP által javasolt küszöbérték alatt van: 310. iterációk a PBKDF000 számára a LastPass által használt SHA2 hash algoritmussal kombinálva.
LastPass ügyfelek nagyon ébernek kell lenniük az adathalász e-mailekre és telefonhívásokra is, amelyek állítólag a LastPass-tól származnak vagy más szolgáltatások, amelyek érzékeny adatokat keresnek és más csalásokat, amelyek kihasználják az Ön feltört személyes adatait. A vállalat speciális útmutatást is kínál azon vállalati ügyfelek számára, akik bevezették a LastPass egyesített bejelentkezési szolgáltatásokat.
Végül, ha többet szeretne megtudni róla, akkor tanulmányozza a részleteket A következő linken.