LastPass er en freemium passordbehandler som lagrer krypterte passord i skyen, opprinnelig utviklet av selskapet Marvasol, Inc.
Utviklere passordbehandler LastPass, som brukes av mer enn 33 millioner mennesker og mer enn 100.000 XNUMX selskaper, varslet brukere om en hendelse der angripere klarte å få tilgang til sikkerhetskopier av lagring med brukerdata fra service.
Dataene inkluderte informasjon som brukernavn, adresse, e-post, telefon og IP-adresser som tjenesten ble åpnet fra, samt ukrypterte nettstedsnavn lagret i passordbehandleren og pålogginger, passord, skjemadata og krypterte notater lagret på disse nettstedene .
For å beskytte pålogginger og passord av nettstedene, AES-kryptering ble brukt med en 256-bits nøkkel generert ved hjelp av PBKDF2-funksjonen basert på et hovedpassord som kun er kjent for brukeren, med en minimumslengde på 12 tegn. Kryptering og dekryptering av pålogginger og passord i LastPass gjøres kun på brukersiden, og å gjette hovedpassordet anses som urealistisk på moderne maskinvare, gitt størrelsen på hovedpassordet og det anvendte antallet iterasjoner av PBKDF2 .
For å utføre angrepet brukte de data innhentet av angriperne under det siste angrepet som skjedde i august, og det ble utført ved å kompromittere kontoen til en av tjenesteutviklerne.
August-angrepet resulterte i at angriperne fikk tilgang til utviklingsmiljøet, applikasjonskode og teknisk informasjon. Senere viste det seg at angriperne brukte data fra utviklingsmiljøet til å angripe en annen utvikler, som de klarte å skaffe tilgangsnøkler til skylagring og nøkler for å dekryptere data fra containerne som var lagret der. De kompromitterte skyserverne var vert for fullstendige sikkerhetskopier av arbeiderens tjenestedata.
Avsløringen representerer en dramatisk oppdatering av et smutthull som LastPass avslørte i august. Utgiveren erkjente at hackerne "tok deler av kildekoden og noe proprietær teknisk informasjon fra LastPass." Selskapet sa den gang at kundehovedpassord, krypterte passord, personlig informasjon og andre data lagret på kundekontoer ikke ble berørt.
256-bit AES og kan bare dekrypteres med en unik dekrypteringsnøkkel hentet fra hver brukers hovedpassord ved å bruke vår Zero Knowledge-arkitektur,” forklarte LastPass CEO Karim Toubba, med henvisning til Advanced Encryption Scheme. Zero Knowledge refererer til lagringssystemer som er umulige for tjenesteleverandøren å knekke. Konsernsjefen fortsatte:
Den listet også opp flere løsninger som LastPass tok for å styrke sikkerheten etter bruddet. Trinnene inkluderer dekommisjonering av det hackede utviklingsmiljøet og gjenoppbygging fra bunnen av, vedlikehold av en administrert endepunktdeteksjons- og responstjeneste, og rotering av all relevant legitimasjon og sertifikater som kan ha blitt kompromittert.
Gitt konfidensialiteten til dataene som er lagret av LastPass, er det alarmerende at et så bredt spekter av personopplysninger er innhentet. Selv om det å knekke passordhasher ville være ressurskrevende, er det ikke utelukket, spesielt gitt metoden og oppfinnsomheten til angriperne.
LastPass-kunder bør sørge for at de har endret hovedpassordet sitt og alle passord som er lagret i hvelvet ditt. De bør også sørge for at de bruker innstillinger som overskrider standard LastPass-innstillingene.
Disse konfigurasjonene forvrider lagrede passord ved å bruke 100100 2 iterasjoner av Password Based Key Derivation Function (PBKDF100100), en hashing-ordning som kan gjøre det umulig å knekke lange, unike hovedpassord, og de tilfeldig genererte 310 000 iterasjonene er sørgelig under OWASP-anbefalt terskel på 2 iterasjoner for PBKDF256 i kombinasjon med SHAXNUMX hash-algoritmen brukt av LastPass.
LastPass-kunder de bør også være veldig på vakt mot phishing-e-poster og telefonsamtaler som utgir seg for å være fra LastPass eller andre tjenester som søker etter sensitive data og annen svindel som utnytter dine kompromitterte personopplysninger. Selskapet tilbyr også spesifikk veiledning for bedriftskunder som har implementert LastPass fødererte påloggingstjenester.
Til slutt, hvis du er interessert i å vite mer om det, kan du se detaljene I den følgende lenken.