LastPass yra nemokama slaptažodžių tvarkyklė, kuri saugo užšifruotus slaptažodžius debesyje, kurią iš pradžių sukūrė bendrovė Marvasol, Inc.
Kūrėjai slaptažodžių tvarkyklė LastPass, kuriuo naudojasi daugiau nei 33 milijonai žmonių ir daugiau nei 100.000 XNUMX įmonių, pranešė vartotojams apie incidentą, kai užpuolikams pavyko pasiekti atsargines kopijas saugojimo su vartotojo duomenimis iš tarnybos.
Duomenys apėmė tokią informaciją kaip vartotojo vardas, adresas, el. pašto adresas, telefonas ir IP adresai, iš kurių buvo pasiekta paslauga, taip pat nešifruoti svetainių pavadinimai, saugomi slaptažodžių tvarkyklėje, ir prisijungimai, slaptažodžiai, formų duomenys ir šiose svetainėse saugomi užšifruoti užrašai. .
Norėdami apsaugoti prisijungimus ir slaptažodžius iš svetainių, AES šifravimas buvo naudojamas su 256 bitų raktu, sugeneruotu naudojant PBKDF2 funkciją pagrįstas pagrindiniu slaptažodžiu, kurį žino tik vartotojas ir kurio mažiausiai 12 simbolių. Prisijungimų ir slaptažodžių šifravimas ir iššifravimas „LastPass“ atliekamas tik vartotojo pusėje, o pagrindinio slaptažodžio atspėjimas šiuolaikinėje aparatinėje įrangoje laikomas nerealu, atsižvelgiant į pagrindinio slaptažodžio dydį ir taikomą PBKDF2 iteracijų skaičių.
Vykdydami ataką, jie naudojo duomenis, kuriuos užpuolikai gavo per paskutinę rugpjūčio mėnesį įvykusią ataką, kuri buvo įvykdyta sukompromitavus vieno iš paslaugų kūrėjų paskyrą.
Rugpjūčio mėnesio ataka leido užpuolikams pasiekti kūrimo aplinką, programos kodas ir techninė informacija. Vėliau paaiškėjo, kad užpuolikai naudojo duomenis iš kūrimo aplinkos, kad atakuotų kitą kūrėją, kuriam pavyko gauti prieigos raktus į debesies saugyklą ir raktus duomenims iššifruoti iš ten saugomų konteinerių. Pažeisti debesies serveriai priglobė visas darbuotojo paslaugų duomenų atsargines kopijas.
Atskleidimas yra dramatiškas spragos, kurią LastPass atskleidė rugpjūčio mėn., atnaujinimas. Leidėjas pripažino, kad įsilaužėliai „paėmė dalis šaltinio kodo ir kai kurios patentuotos techninės informacijos iš LastPass“. Bendrovė tuo metu teigė, kad klientų pagrindiniai slaptažodžiai, užšifruoti slaptažodžiai, asmeninė informacija ir kiti klientų paskyrose saugomi duomenys nebuvo paveikti.
256 bitų AES ir gali būti iššifruotas tik naudojant unikalų iššifravimo raktą, gautą iš kiekvieno vartotojo pagrindinio slaptažodžio, naudojant mūsų Zero Knowledge architektūrą“, – paaiškino LastPass generalinis direktorius Karimas Toubba, kalbėdamas apie išplėstinę šifravimo schemą. Zero Knowledge reiškia saugojimo sistemas, kurių paslaugų teikėjas negali nulaužti. Generalinis direktorius tęsė:
Jame taip pat išvardyti keli sprendimai, kurių „LastPass“ ėmėsi, kad sustiprintų savo saugumą po pažeidimo. Veiksmai apima nulaužtos kūrimo aplinkos eksploatavimo nutraukimą ir atkūrimą nuo nulio, valdomos galinių taškų aptikimo ir reagavimo paslaugos palaikymą bei visų susijusių kredencialų ir sertifikatų, kurie galėjo būti pažeisti, pakeitimą.
Atsižvelgiant į LastPass saugomų duomenų konfidencialumą, nerimą kelia tai, kad buvo gauta tokia daugybė asmens duomenų. Nors slaptažodžių maišos nulaužimas pareikalautų daug išteklių, tai nėra iš piršto laužta, ypač atsižvelgiant į užpuolikų metodą ir išradingumą.
„LastPass“ klientai turėtų įsitikinti, kad jie pakeitė pagrindinį slaptažodį ir visi slaptažodžiai, saugomi jūsų saugykloje. Jie taip pat turėtų užtikrinti, kad jie naudoja nustatymus, viršijančius numatytuosius LastPass nustatymus.
Šios konfigūracijos sumaišo saugomus slaptažodžius, naudodamos 100100 2 slaptažodžiu pagrįstos raktų išvedimo funkcijos (PBKDF100100) iteracijų – maišos schemą, dėl kurios neįmanoma nulaužti ilgų, unikalių pagrindinių slaptažodžių, o atsitiktinai sugeneruotų 310 000 pakartojimų apgailėtinai nesiekia OWASP rekomenduojamo slenksčio 2. PBKDF256 iteracijos kartu su SHAXNUMX maišos algoritmu, kurį naudoja LastPass.
LastPass klientai jie taip pat turėtų būti labai budrūs dėl sukčiavimo el. laiškų ir telefono skambučių, tariamai iš LastPass arba kitas paslaugas, kurios siekia neskelbtinų duomenų ir kitų aferų, kurios išnaudoja jūsų pažeistus asmens duomenis. Bendrovė taip pat siūlo konkrečias gaires verslo klientams, kurie įdiegė LastPass federacines prisijungimo paslaugas.
Galiausiai, jei jus domina daugiau apie tai sužinoti, galite susipažinti su išsamia informacija Šioje nuorodoje.