LastPass este un manager de parole freemium care stochează parole criptate în cloud, dezvoltat inițial de compania Marvasol, Inc.
Dezvoltatori manager de parole LastPass, care este folosit de peste 33 de milioane de oameni și de peste 100.000 de companii, a notificat utilizatorii cu privire la un incident în care atacatorii au reușit să acceseze copii de rezervă de depozitare cu datele utilizatorului din serviciu.
Datele au inclus informații precum numele de utilizator, adresa, e-mailul, telefonul și adresele IP de la care a fost accesat serviciul, precum și numele site-urilor necriptate stocate în managerul de parole și login-uri, parole, date de formular și note criptate stocate pe aceste site-uri. .
Pentru a proteja login-urile și parolele a site-urilor, Criptarea AES a fost utilizată cu o cheie de 256 de biți generată folosind funcția PBKDF2 bazat pe o parolă principală cunoscută doar de utilizator, cu o lungime minimă de 12 caractere. Criptarea și decriptarea login-urilor și a parolelor în LastPass se face numai pe partea utilizatorului, iar ghicirea parolei principale este considerată nerealistă pe hardware-ul modern, având în vedere dimensiunea parolei principale și numărul aplicat de iterații ale PBKDF2 .
Pentru a efectua atacul, au folosit date obținute de atacatori în timpul ultimului atac care a avut loc în luna august și a fost realizat prin compromiterea contului unuia dintre dezvoltatorii de servicii.
Atacul din august a avut ca rezultat accesul atacatorilor la mediul de dezvoltare, codul aplicației și informații tehnice. Ulterior s-a dovedit că atacatorii au folosit date din mediul de dezvoltare pentru a ataca un alt dezvoltator, pentru care au reușit să obțină chei de acces la stocarea în cloud și chei de decriptare a datelor din containerele stocate acolo. Serverele cloud compromise găzduiau copii de rezervă complete ale datelor de serviciu ale lucrătorului.
Dezvăluirea reprezintă o actualizare dramatică a unei lacune pe care LastPass a dezvăluit-o în august. Editorul a recunoscut că hackerii „au luat părți din codul sursă și unele informații tehnice proprietare de la LastPass”. Compania a declarat la acea vreme că parolele principale ale clienților, parolele criptate, informațiile personale și alte date stocate în conturile clienților nu au fost afectate.
AES pe 256 de biți și poate fi decriptat numai cu o cheie unică de decriptare derivată din parola principală a fiecărui utilizator, folosind arhitectura noastră Zero Knowledge”, a explicat CEO-ul LastPass, Karim Toubba, referindu-se la Schema de criptare avansată. Zero Knowledge se referă la sistemele de stocare pe care furnizorul de servicii nu le poate sparge. CEO-ul a continuat:
De asemenea, a enumerat mai multe soluții pe care LastPass le-a luat pentru a-și consolida securitatea după breșă. Pașii includ scoaterea din funcțiune a mediului de dezvoltare piratat și reconstruirea de la zero, menținerea unui serviciu de detectare și răspuns a punctelor finale gestionate și rotirea tuturor acreditărilor și certificatelor relevante care ar fi putut fi compromise.
Având în vedere confidențialitatea datelor stocate de LastPass, este alarmant faptul că s-a obținut o gamă atât de largă de date cu caracter personal. Deși spargerea hash-urilor parolelor ar consuma resurse, nu este exclusă, mai ales având în vedere metoda și ingeniozitatea atacatorilor.
Clienții LastPass ar trebui să se asigure că și-au schimbat parola principală și toate parolele stocate în seif. De asemenea, ar trebui să se asigure că folosesc setări care depășesc setările implicite LastPass.
Aceste configurații amestecă parolele stocate folosind 100100 de iterații ale funcției de derivare a cheilor bazate pe parolă (PBKDF2), o schemă de hashing care poate face imposibilă spargerea parolelor principale lungi și unice, iar cele 100100 de iterații generate aleatoriu sunt sub pragul recomandat de OWASP de 310. iterații pentru PBKDF000 în combinație cu algoritmul hash SHA2 utilizat de LastPass.
Clienții LastPass ar trebui să fie, de asemenea, foarte vigilenți cu privire la e-mailurile de phishing și la apelurile telefonice care se pretind a fi de la LastPass sau alte servicii care caută date sensibile și alte escrocherii care exploatează datele dvs. personale compromise. Compania oferă, de asemenea, îndrumări specifice pentru clienții întreprinderi care au implementat serviciile de conectare federate LastPass.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile În următorul link.