LastPass 사용자 데이터 백업이 손상되었습니다.

개발자 암호 관리자 제작 : LastPass33만 명 이상, 100.000개 이상의 기업에서 사용하는 공격자가 백업에 액세스할 수 있었던 사건에 대해 사용자에게 알렸습니다. 스토리지 사용자 데이터로 서비스에서.

데이터에는 서비스에 액세스한 사용자 이름, 주소, 이메일, 전화, IP 주소, 암호 관리자에 저장된 암호화되지 않은 사이트 이름, 이러한 사이트에 저장된 로그인, 암호, 양식 데이터 및 암호화된 메모와 같은 정보가 포함되었습니다. .

로그인 및 비밀번호를 보호하려면 사이트의, AES 암호화는 PBKDF256 기능을 사용하여 생성된 2비트 키와 함께 사용되었습니다. 사용자만 알 수 있는 마스터 암호를 기반으로 하며 최소 크기는 12자입니다. LastPass에서 로그인 및 암호의 암호화 및 암호 해독은 사용자 측에서만 수행되며 마스터 암호를 추측하는 것은 마스터 암호의 크기와 적용된 PBKDF2 반복 횟수를 고려할 때 최신 하드웨어에서 비현실적인 것으로 간주됩니다.

공격은 지난 XNUMX월 발생한 공격에서 공격자가 얻은 데이터를 이용했으며, 서비스 개발자 중 한 명의 계정을 해킹해 수행했다.

XNUMX월 공격으로 인해 공격자는 개발 환경에 대한 액세스 권한을 얻었습니다., 애플리케이션 코드 및 기술 정보. 나중에 밝혀진 바에 따르면 공격자는 개발 환경의 데이터를 사용하여 다른 개발자를 공격했으며, 이를 위해 클라우드 스토리지에 대한 액세스 키와 거기에 저장된 컨테이너의 데이터를 해독하는 키를 획득했습니다. 손상된 클라우드 서버는 작업자 서비스 데이터의 전체 백업을 호스팅했습니다.

이 공개는 LastPass가 XNUMX월에 공개한 허점에 대한 극적인 업데이트를 나타냅니다. 게시자는 해커가 "LastPass에서 소스 코드의 일부와 일부 독점 기술 정보를 가져갔다"고 인정했습니다. 회사는 당시 고객 마스터 암호, 암호화된 암호, 개인 정보 및 고객 계정에 저장된 기타 데이터는 영향을 받지 않는다고 말했습니다.

256비트 AES이며 Zero Knowledge 아키텍처를 사용하여 각 사용자의 마스터 암호에서 파생된 고유한 암호 해독 키로만 해독할 수 있습니다.”라고 LastPass CEO Karim Toubba는 고급 암호화 체계를 언급하며 설명했습니다. 영지식이란 서비스 제공업체가 크랙할 수 없는 스토리지 시스템을 말합니다. CEO는 계속해서 말했습니다.

또한 위반 후 LastPass가 보안을 강화하기 위해 취한 몇 가지 솔루션을 나열했습니다. 단계에는 해킹된 개발 환경 폐기 및 처음부터 다시 빌드, 관리형 엔드포인트 감지 및 대응 서비스 유지, 손상되었을 수 있는 모든 관련 자격 증명 및 인증서 교체가 포함됩니다.

LastPass가 저장한 데이터의 기밀성을 고려할 때 이렇게 광범위한 개인 데이터가 입수되었다는 사실에 경악을 금치 못합니다. 암호 해시 크래킹은 리소스를 많이 사용하지만 특히 공격자의 방법과 독창성을 고려할 때 불가능한 것은 아닙니다.

LastPass 고객은 마스터 암호를 변경했는지 확인해야 합니다. 볼트에 저장된 모든 암호. 또한 기본 LastPass 설정을 초과하는 설정을 사용하고 있는지 확인해야 합니다.

이러한 구성은 PBKDF100100(Password Based Key Derivation Function)의 2회 반복을 사용하여 저장된 암호를 뒤섞습니다. 이 해시 체계는 길고 고유한 마스터 암호를 크랙하는 것을 불가능하게 만들 수 있으며 무작위로 생성된 100100회 반복은 OWASP에서 권장하는 임계값인 310 미만입니다. LastPass에서 사용하는 SHA000 해시 알고리즘과 함께 PBKDF2에 대한 반복.

LastPass 고객 그들은 또한 피싱 이메일과 LastPass에서 보낸 전화를 사칭하는 전화에 대해 매우 경계해야 합니다. 또는 민감한 데이터를 찾는 기타 서비스 및 손상된 개인 데이터를 악용하는 기타 사기. 회사는 또한 LastPass 통합 로그인 서비스를 구현한 기업 고객을 위한 구체적인 지침을 제공합니다.

마지막으로, 그것에 대해 더 알고 싶다면 자세한 내용을 참조하십시오. 다음 링크에서.