LastPass ir bezmaksas paroļu pārvaldnieks, kas mākonī saglabā šifrētas paroles, ko sākotnēji izstrādāja uzņēmums Marvasol, Inc.
Izstrādātāji paroļu pārvaldnieks LastPass, ko izmanto vairāk nekā 33 miljoni cilvēku un vairāk nekā 100.000 XNUMX uzņēmumu, informēja lietotājus par incidentu, kurā uzbrucējiem izdevās piekļūt dublējumkopijām no uzglabāšanas ar lietotāja datiem no servisa.
Dati ietvēra tādu informāciju kā lietotājvārds, adrese, e-pasts, tālrunis un IP adreses, no kurām tika piekļūts pakalpojumam, kā arī nešifrēti vietņu nosaukumi, kas saglabāti paroļu pārvaldniekā, un pieteikumvārdi, paroles, veidlapu dati un šifrētas piezīmes, kas tika glabātas šajās vietnēs. .
Lai aizsargātu pieteikumvārdus un paroles no vietnēm, AES šifrēšana tika izmantota ar 256 bitu atslēgu, kas ģenerēta, izmantojot funkciju PBKDF2 pamatojoties uz galveno paroli, kas zināma tikai lietotājam, ar minimālo izmēru 12 rakstzīmes. Pieteikumvārdu un paroļu šifrēšana un atšifrēšana programmā LastPass tiek veikta tikai lietotāja pusē, un galvenās paroles uzminēšana mūsdienu aparatūrā tiek uzskatīta par nereālu, ņemot vērā galvenās paroles lielumu un izmantoto PBKDF2 iterāciju skaitu.
Uzbrukuma veikšanai viņi izmantoja datus, ko uzbrucēji ieguva pēdējā uzbrukuma laikā, kas notika augustā, un tas tika veikts, kompromitējot viena pakalpojuma izstrādātāja kontu.
Augusta uzbrukuma rezultātā uzbrucēji ieguva piekļuvi izstrādes videi, pieteikuma kods un tehniskā informācija. Vēlāk izrādījās, ka uzbrucēji izmantojuši izstrādes vides datus, lai uzbruktu citam izstrādātājam, kuram izdevies iegūt piekļuves atslēgas mākoņkrātuvei un atslēgas datu atšifrēšanai no tur glabātajiem konteineriem. Kompromitētajos mākoņserveros tika mitinātas pilnas darbinieka pakalpojumu datu dublējumkopijas.
Informācijas atklāšana ir dramatisks atjauninājums nepilnībai, ko LastPass atklāja augustā. Izdevējs atzina, ka hakeri "paņēma avota koda daļas un daļu patentētas tehniskās informācijas no LastPass". Uzņēmums toreiz paziņoja, ka klientu galvenās paroles, šifrētās paroles, personiskā informācija un citi klientu kontos glabātie dati netika ietekmēti.
256 bitu AES, un to var atšifrēt tikai ar unikālu atšifrēšanas atslēgu, kas iegūta no katra lietotāja galvenās paroles, izmantojot mūsu Zero Knowledge arhitektūru,” skaidroja LastPass izpilddirektors Karims Toubba, atsaucoties uz Advanced Encryption Scheme. Nulles zināšanas attiecas uz uzglabāšanas sistēmām, kuras pakalpojumu sniedzējam nav iespējams uzlauzt. Izpilddirektors turpināja:
Tajā tika uzskaitīti arī vairāki risinājumi, ko LastPass izmantoja, lai stiprinātu savu drošību pēc pārkāpuma. Darbības ietver uzlauztās izstrādes vides ekspluatācijas pārtraukšanu un atjaunošanu no jauna, pārvaldīta galapunkta noteikšanas un reaģēšanas pakalpojuma uzturēšanu, kā arī visu attiecīgo akreditācijas datu un sertifikātu rotāciju, kas, iespējams, ir apdraudēti.
Ņemot vērā LastPass uzglabāto datu konfidencialitāti, ir satraucoši, ka iegūts tik plašs personas datu klāsts. Lai gan paroļu jaucējkodu uzlaušana būtu resursietilpīga, tas nav izslēgts, jo īpaši ņemot vērā uzbrucēju metodi un atjautību.
LastPass klientiem ir jāpārliecinās, ka viņi ir mainījuši savu galveno paroli un visas jūsu glabātuvē saglabātās paroles. Viņiem arī jāpārliecinās, ka viņi izmanto iestatījumus, kas pārsniedz noklusējuma LastPass iestatījumus.
Šīs konfigurācijas sagroza saglabātās paroles, izmantojot 100100 2 paroles atslēgu atvasināšanas funkcijas (PBKDF100100) iterācijas — jaukšanas shēmu, kas var padarīt neiespējamu garu unikālo galveno paroļu uzlauzšanu, un nejauši ģenerētās 310 000 atkārtojumus ir nožēlojami zem OWASP ieteiktā sliekšņa 2. iterācijas PBKDF256 kombinācijā ar SHAXNUMX jaukšanas algoritmu, ko izmanto LastPass.
LastPass klienti viņiem arī jābūt ļoti modriem pret pikšķerēšanas e-pastiem un tālruņa zvaniem, kas it kā ir no LastPass vai citi pakalpojumi, kas meklē sensitīvus datus un citas krāpniecības, kas izmanto jūsu apdraudētos personas datus. Uzņēmums piedāvā arī īpašus norādījumus uzņēmumu klientiem, kuri ir ieviesuši LastPass federētos pieteikšanās pakalpojumus.
Visbeidzot, ja jūs interesē uzzināt vairāk par to, varat iepazīties ar informāciju Šajā saitē.