LastPass to menedżer haseł freemium, który przechowuje zaszyfrowane hasła w chmurze, pierwotnie opracowany przez firmę Marvasol, Inc.
Deweloperzy menedżer haseł LastPass, z którego korzysta ponad 33 miliony osób i ponad 100.000 XNUMX firm, powiadomił użytkowników o incydencie, w którym atakującym udało się uzyskać dostęp do kopii zapasowych składowy z danymi użytkownika z serwisu.
Dane obejmowały informacje, takie jak nazwa użytkownika, adres, adres e-mail, telefon i adresy IP, z których uzyskano dostęp do usługi, a także niezaszyfrowane nazwy witryn przechowywane w menedżerze haseł oraz loginy, hasła, dane formularzy i zaszyfrowane notatki przechowywane w tych witrynach .
Aby chronić loginy i hasła witryn, Zastosowano szyfrowanie AES z 256-bitowym kluczem wygenerowanym za pomocą funkcji PBKDF2 w oparciu o hasło główne znane tylko użytkownikowi, o minimalnej długości 12 znaków. Szyfrowanie i odszyfrowywanie loginów i haseł w LastPass odbywa się tylko po stronie użytkownika, a odgadnięcie hasła głównego jest uważane za nierealne na nowoczesnym sprzęcie, biorąc pod uwagę rozmiar hasła głównego i zastosowaną liczbę iteracji PBKDF2.
Do przeprowadzenia ataku wykorzystali dane pozyskane przez osoby atakujące podczas ostatniego ataku, który miał miejsce w sierpniu i został przeprowadzony poprzez włamanie się na konto jednego z twórców serwisu.
Sierpniowy atak spowodował, że osoby atakujące uzyskały dostęp do środowiska programistycznego, kod aplikacji i informacje techniczne. Później okazało się, że atakujący wykorzystali dane ze środowiska deweloperskiego do zaatakowania innego dewelopera, dla którego udało im się zdobyć klucze dostępu do magazynu w chmurze oraz klucze do odszyfrowania danych z przechowywanych tam kontenerów. Zaatakowane serwery w chmurze zawierały pełne kopie zapasowe danych usługi pracownika.
Ujawnienie stanowi dramatyczną aktualizację luki, którą LastPass ujawnił w sierpniu. Wydawca przyznał, że hakerzy „zabrali części kodu źródłowego i niektóre zastrzeżone informacje techniczne z LastPass”. Firma poinformowała wówczas, że nie miało to wpływu na hasła główne klientów, hasła zaszyfrowane, dane osobowe i inne dane przechowywane na kontach klientów.
256-bitowy AES i można go odszyfrować tylko za pomocą unikalnego klucza deszyfrującego uzyskanego z hasła głównego każdego użytkownika przy użyciu naszej architektury Zero Knowledge” — wyjaśnił dyrektor generalny LastPass, Karim Toubba, odnosząc się do zaawansowanego schematu szyfrowania. Zero Knowledge odnosi się do systemów pamięci masowej, których złamanie przez usługodawcę jest niemożliwe. Prezes kontynuował:
Wymieniono również kilka rozwiązań, które LastPass zastosował, aby wzmocnić swoje bezpieczeństwo po włamaniu. Kroki obejmują likwidację zhakowanego środowiska programistycznego i odbudowanie od podstaw, utrzymanie zarządzanej usługi wykrywania i reagowania na punkty końcowe oraz rotację wszystkich odpowiednich poświadczeń i certyfikatów, które mogły zostać naruszone.
Biorąc pod uwagę poufność danych przechowywanych przez LastPass, niepokojące jest to, że uzyskano tak szeroki zakres danych osobowych. Chociaż łamanie skrótów haseł wymagałoby dużych zasobów, nie jest wykluczone, zwłaszcza biorąc pod uwagę metodę i pomysłowość atakujących.
Klienci LastPass powinni upewnić się, że zmienili swoje hasło główne i wszystkie hasła przechowywane w skarbcu. Powinni również upewnić się, że używają ustawień, które wykraczają poza domyślne ustawienia LastPass.
Te konfiguracje szyfrują zapisane hasła przy użyciu 100100 iteracji funkcji wyprowadzania klucza opartego na hasłach (PBKDF2), schematu mieszania, który może uniemożliwić złamanie długich, unikalnych haseł głównych, a losowo wygenerowane 100100 iteracji jest żałośnie poniżej zalecanego przez OWASP progu 310 000 iteracje dla PBKDF2 w połączeniu z algorytmem mieszania SHA256 używanym przez LastPass.
Klienci LastPass powinni również bardzo uważać na e-maile phishingowe i rozmowy telefoniczne rzekomo pochodzące z LastPass lub inne usługi wyszukujące poufne dane i inne oszustwa wykorzystujące naruszone dane osobowe. Firma oferuje również szczegółowe wskazówki dla klientów korporacyjnych, którzy wdrożyli federacyjne usługi logowania LastPass.
Na koniec, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami W poniższym linku.