Serep data pangguna LastPass dikompromi

Pangembang manager sandi LastPass, sing digunakake dening luwih saka 33 yuta wong lan luwih saka 100.000 perusahaan, menehi kabar marang pangguna babagan kedadeyan nalika panyerang bisa ngakses serep saka panyimpenan karo data pangguna saka layanan.

Data kasebut kalebu informasi kayata jeneng pangguna, alamat, email, telpon, lan alamat IP saka ngendi layanan kasebut diakses, uga jeneng situs sing ora dienkripsi sing disimpen ing manajer sandi lan login, sandhi, data formulir, lan cathetan sing dienkripsi sing disimpen ing situs kasebut. .

Kanggo nglindhungi login lan sandhi saka situs, Enkripsi AES digunakake kanthi kunci 256-bit sing digawe nggunakake fungsi PBKDF2 adhedhasar sandhi master sing mung dikenal pangguna, kanthi dawa minimal 12 karakter. Enkripsi lan dekripsi login lan sandhi ing LastPass ditindakake mung ing sisih pangguna, lan ngira sandhi master dianggep ora realistis ing hardware modern, amarga ukuran sandi master lan jumlah pengulangan PBKDF2 sing ditrapake.

Kanggo nindakake serangan kasebut, dheweke nggunakake data sing dipikolehi para panyerang sajrone serangan pungkasan sing kedadeyan ing wulan Agustus lan ditindakake kanthi kompromi akun salah sawijining pangembang layanan.

Serangan Agustus nyebabake para penyerang entuk akses menyang lingkungan pangembangan, kode aplikasi lan informasi teknis. Mengko, para panyerang nggunakake data saka lingkungan pangembangan kanggo nyerang pangembang liyane, sing bisa entuk kunci akses menyang panyimpenan maya lan kunci kanggo dekripsi data saka wadhah sing disimpen ing kono. Server awan sing dikompromi dadi tuan rumah serep lengkap data layanan pekerja.

Pambocoran kasebut nuduhake nganyari dramatis menyang celah sing diungkapake LastPass ing wulan Agustus. Penerbit ngakoni manawa peretas "njupuk bagean kode sumber lan sawetara informasi teknis kepemilikan saka LastPass." Perusahaan kasebut ujar manawa sandhi master pelanggan, sandhi sing dienkripsi, informasi pribadhi lan data liyane sing disimpen ing akun pelanggan ora kena pengaruh.

256-bit AES lan mung bisa didekripsi nganggo kunci dekripsi unik sing asale saka saben tembung sandhi utama pangguna nggunakake arsitektur Zero Knowledge, "jelas CEO LastPass Karim Toubba, ngrujuk menyang Skema Enkripsi Lanjut. Zero Knowledge nuduhake sistem panyimpenan sing ora bisa ditindakake panyedhiya layanan. CEO terus:

Uga nyathet sawetara solusi sing ditindakake LastPass kanggo nguatake keamanan sawise pelanggaran kasebut. Langkah-langkah kasebut kalebu mateni lingkungan pangembangan sing disusupi lan mbangun maneh saka awal, njaga layanan deteksi lan respon titik pungkasan sing dikelola, lan muter kabeh kredensial lan sertifikat sing relevan sing bisa uga wis dikompromi.

Amarga kerahasiaan data sing disimpen dening LastPass, nguwatirake manawa data pribadhi sing akeh banget wis dipikolehi. Nalika cracking sandi hashes bakal sumber intensif, iku ora metu saka pitakonan, utamané diwenehi cara lan kapinteran saka panyerang.

Pelanggan LastPass kudu mesthekake yen wis ngganti Sandi Master lan kabeh sandhi sing disimpen ing brankas sampeyan. Dheweke uga kudu mesthekake yen nggunakake setelan sing ngluwihi setelan LastPass standar.

Konfigurasi iki scramble sandi sing disimpen nggunakake 100100 iterasi saka Sandi Based Key Derivation Function (PBKDF2), skema hashing sing bisa nggawe ora bisa kanggo crack dawa, sandi master unik, lan acak kui 100100 iterasi woefully ing batesan OWASP-dianjurake 310 iterasi kanggo PBKDF000 ing kombinasi karo algoritma hash SHA2 digunakake dening LastPass.

Pelanggan LastPass dheweke uga kudu waspada banget babagan email phishing lan telpon sing diduga saka LastPass utawa layanan liyane sing nggoleki data sensitif lan penipuan liyane sing ngeksploitasi data pribadhi sing dikompromi. Perusahaan uga nawakake pandhuan khusus kanggo pelanggan perusahaan sing wis ngetrapake layanan login federasi LastPass.

Pungkasan, yen sampeyan kepengin ngerti luwih akeh babagan iki, sampeyan bisa menehi rincian babagan rincian kasebut Ing link ing ngisor iki.