Pemaju pengurus kata laluan LastPass, yang digunakan oleh lebih daripada 33 juta orang dan lebih daripada 100.000 syarikat, memberitahu pengguna tentang insiden di mana penyerang berjaya mengakses sandaran daripada penyimpanan dengan data pengguna dari perkhidmatan.
Data tersebut termasuk maklumat seperti nama pengguna, alamat, e-mel, telefon dan alamat IP dari mana perkhidmatan itu diakses, serta nama tapak yang tidak disulitkan yang disimpan dalam pengurus kata laluan dan log masuk, kata laluan, data borang dan nota yang disulitkan yang disimpan di tapak ini. .
Untuk melindungi log masuk dan kata laluan daripada tapak, Penyulitan AES digunakan dengan kunci 256-bit yang dijana menggunakan fungsi PBKDF2 berdasarkan kata laluan induk yang hanya diketahui oleh pengguna, dengan saiz minimum 12 aksara. Penyulitan dan penyahsulitan log masuk dan kata laluan dalam LastPass hanya dilakukan pada bahagian pengguna, dan meneka kata laluan induk dianggap tidak realistik pada perkakasan moden, memandangkan saiz kata laluan induk dan bilangan lelaran yang digunakan bagi PBKDF2 .
Untuk melakukan serangan itu, mereka menggunakan data yang diperoleh oleh penyerang semasa serangan terakhir yang berlaku pada bulan Ogos dan ia dilakukan dengan menjejaskan akaun salah satu pembangun perkhidmatan.
Serangan Ogos menyebabkan penyerang mendapat akses kepada persekitaran pembangunan, kod aplikasi dan maklumat teknikal. Kemudian ternyata bahawa penyerang menggunakan data dari persekitaran pembangunan untuk menyerang pemaju lain, yang mana mereka berjaya mendapatkan kunci akses kepada storan awan dan kunci untuk menyahsulit data daripada bekas yang disimpan di sana. Pelayan awan yang terjejas mengehoskan sandaran penuh data perkhidmatan pekerja.
Pendedahan itu mewakili kemas kini dramatik kepada kelemahan yang didedahkan LastPass pada bulan Ogos. Penerbit mengakui bahawa penggodam "mengambil sebahagian daripada kod sumber dan beberapa maklumat teknikal proprietari daripada LastPass." Syarikat itu berkata pada masa itu bahawa kata laluan induk pelanggan, kata laluan yang disulitkan, maklumat peribadi dan data lain yang disimpan dalam akaun pelanggan tidak terjejas.
AES 256-bit dan hanya boleh dinyahsulit dengan kunci penyahsulitan unik yang diperoleh daripada kata laluan induk setiap pengguna menggunakan seni bina Pengetahuan Sifar kami,” jelas Ketua Pegawai Eksekutif LastPass, Karim Toubba, merujuk kepada Skim Penyulitan Lanjutan. Zero Knowledge merujuk kepada sistem storan yang mustahil untuk dipecahkan oleh pembekal perkhidmatan. Ketua Pegawai Eksekutif meneruskan:
Ia juga menyenaraikan beberapa penyelesaian yang LastPass ambil untuk mengukuhkan keselamatannya selepas pelanggaran itu. Langkah-langkah termasuk menyahtauliah persekitaran pembangunan yang digodam dan membina semula dari awal, mengekalkan perkhidmatan pengesanan dan tindak balas titik akhir yang terurus, dan memutar semua bukti kelayakan dan sijil berkaitan yang mungkin telah terjejas.
Memandangkan kerahsiaan data yang disimpan oleh LastPass, adalah membimbangkan bahawa pelbagai jenis data peribadi telah diperolehi. Walaupun memecah cincang kata laluan akan memerlukan sumber yang intensif, ia bukan masalah, terutamanya memandangkan kaedah dan kepintaran penyerang.
Pelanggan LastPass harus memastikan mereka telah menukar Kata Laluan Utama mereka dan semua kata laluan yang disimpan dalam peti besi anda. Mereka juga harus memastikan bahawa mereka menggunakan tetapan yang melebihi tetapan LastPass lalai.
Konfigurasi ini berebut kata laluan yang disimpan menggunakan 100100 lelaran Fungsi Terbitan Kunci Berasaskan Kata Laluan (PBKDF2), skim pencincangan yang boleh menyebabkan mustahil untuk memecahkan kata laluan induk yang panjang dan unik, dan lelaran 100100 yang dijana secara rawak adalah di bawah ambang yang disyorkan OWASP sebanyak 310 lelaran untuk PBKDF000 dalam kombinasi dengan algoritma cincang SHA2 yang digunakan oleh LastPass.
Pelanggan LastPass mereka juga harus sangat berhati-hati tentang e-mel pancingan data dan panggilan telefon yang dikatakan daripada LastPass atau perkhidmatan lain yang mencari data sensitif dan penipuan lain yang mengeksploitasi data peribadi anda yang terjejas. Syarikat itu juga menawarkan panduan khusus untuk pelanggan perusahaan yang telah melaksanakan perkhidmatan log masuk bersekutu LastPass.
Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh melihat butirannya Dalam pautan berikut.