LastPass is een freemium-wachtwoordbeheerder die gecodeerde wachtwoorden in de cloud opslaat, oorspronkelijk ontwikkeld door het bedrijf Marvasol, Inc.
Ontwikkelaars wachtwoord beheerder LastPass, dat wordt gebruikt door meer dan 33 miljoen mensen en meer dan 100.000 bedrijven, gebruikers op de hoogte gebracht van een incident waarbij aanvallers erin slaagden om toegang te krijgen tot back-ups van opslag met gebruikersgegevens van service.
De gegevens omvatten informatie zoals gebruikersnaam, adres, e-mail, telefoon en IP-adressen van waaruit de service was geopend, evenals niet-versleutelde sitenamen die zijn opgeslagen in de wachtwoordbeheerder en aanmeldingen, wachtwoorden, formuliergegevens en versleutelde notities die op deze sites zijn opgeslagen .
Om logins en wachtwoorden te beschermen van de websites, AES-codering werd gebruikt met een 256-bits sleutel die werd gegenereerd met behulp van de PBKDF2-functie gebaseerd op een hoofdwachtwoord dat alleen bekend is bij de gebruiker, met een minimale lengte van 12 tekens. Versleuteling en ontsleuteling van aanmeldingen en wachtwoorden in LastPass wordt alleen aan de gebruikerszijde gedaan, en het raden van het hoofdwachtwoord wordt op moderne hardware als onrealistisch beschouwd, gezien de grootte van het hoofdwachtwoord en het toegepaste aantal iteraties van PBKDF2 .
Om de aanval uit te voeren, gebruikten ze gegevens die door de aanvallers waren verkregen tijdens de laatste aanval die plaatsvond in augustus en die werd uitgevoerd door het account van een van de serviceontwikkelaars in gevaar te brengen.
Door de aanval van augustus kregen de aanvallers toegang tot de ontwikkelomgeving, toepassingscode en technische informatie. Later bleek dat de aanvallers data uit de ontwikkelomgeving gebruikten om een andere ontwikkelaar aan te vallen, waarvoor ze toegangssleutels wisten te bemachtigen tot cloudopslag en sleutels om data uit de daar opgeslagen containers te ontsleutelen. De gecompromitteerde cloudservers hosten volledige back-ups van de servicegegevens van de werknemer.
De onthulling vertegenwoordigt een dramatische update van een maas in de wet die LastPass in augustus openbaarde. De uitgever erkende dat de hackers "delen van de broncode en wat bedrijfseigen technische informatie van LastPass hadden gestolen". Het bedrijf zei destijds dat de hoofdwachtwoorden van klanten, gecodeerde wachtwoorden, persoonlijke informatie en andere gegevens die zijn opgeslagen in klantaccounts niet werden beïnvloed.
256-bit AES en kan alleen worden gedecodeerd met een unieke decoderingssleutel die is afgeleid van het hoofdwachtwoord van elke gebruiker met behulp van onze Zero Knowledge-architectuur”, legt Karim Toubba, CEO van LastPass, uit, verwijzend naar het Advanced Encryption Scheme. Zero Knowledge verwijst naar opslagsystemen die voor de dienstverlener onmogelijk te kraken zijn. De CEO vervolgde:
Het vermeldde ook verschillende oplossingen die LastPass heeft genomen om de beveiliging na de inbreuk te versterken. Stappen omvatten het buiten gebruik stellen van de gehackte ontwikkelomgeving en het opnieuw opbouwen vanaf nul, het onderhouden van een beheerde eindpuntdetectie- en responsservice en het rouleren van alle relevante inloggegevens en certificaten die mogelijk zijn aangetast.
Gezien de vertrouwelijkheid van de door LastPass opgeslagen gegevens is het alarmerend dat er zo'n breed scala aan persoonsgegevens is verkregen. Hoewel het kraken van wachtwoord-hashes veel resources zou kosten, is het niet uitgesloten, vooral gezien de methode en vindingrijkheid van de aanvallers.
LastPass-klanten moeten ervoor zorgen dat ze hun hoofdwachtwoord hebben gewijzigd en alle wachtwoorden die in uw kluis zijn opgeslagen. Ze moeten er ook voor zorgen dat ze instellingen gebruiken die de standaard LastPass-instellingen overschrijden.
Deze configuraties versleutelen opgeslagen wachtwoorden met behulp van 100100 iteraties van de Password Based Key Derivation Function (PBKDF2), een hash-schema dat het onmogelijk kan maken om lange, unieke hoofdwachtwoorden te kraken, en de willekeurig gegenereerde 100100 iteraties vallen jammerlijk onder de door OWASP aanbevolen drempel van 310 iteraties voor PBKDF000 in combinatie met het SHA2 hash-algoritme dat door LastPass wordt gebruikt.
LastPass-klanten ze moeten ook zeer waakzaam zijn voor phishing-e-mails en telefoontjes die zogenaamd afkomstig zijn van LastPass of andere diensten die op zoek zijn naar gevoelige gegevens en andere zwendelpraktijken die misbruik maken van uw gecompromitteerde persoonlijke gegevens. Het bedrijf biedt ook specifieke begeleiding voor zakelijke klanten die LastPass gefedereerde inlogservices hebben geïmplementeerd.
Ten slotte, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen In de volgende link.