LastPass — это бесплатный менеджер паролей, который хранит зашифрованные пароли в облаке, изначально разработанный компанией Marvasol, Inc.
Разработчики менеджер паролей LastPass, которым пользуются более 33 миллионов человек и более 100.000 XNUMX компаний, уведомил пользователей об инциденте, в котором злоумышленникам удалось получить доступ к резервным копиям хранения с данными пользователя из службы.
Данные включали такую информацию, как имя пользователя, адрес, адрес электронной почты, телефон и IP-адреса, с которых был осуществлен доступ к услуге, а также незашифрованные имена сайтов, хранящиеся в диспетчере паролей, и логины, пароли, данные форм и зашифрованные заметки, хранящиеся на этих сайтах. .
Для защиты логинов и паролей сайтов, Шифрование AES использовалось с 256-битным ключом, сгенерированным с помощью функции PBKDF2. на основе мастер-пароля, известного только пользователю, с минимальным размером 12 символов. Шифрование и дешифрование логинов и паролей в LastPass производится только на стороне пользователя, а угадать мастер-пароль на современном оборудовании считается нереальным, учитывая размер мастер-пароля и применяемое количество итераций PBKDF2.
Для проведения атаки они использовали данные, полученные злоумышленниками во время последней атаки, произошедшей в августе и осуществленной путем компрометации аккаунта одного из разработчиков сервиса.
В результате августовской атаки злоумышленники получили доступ к среде разработки, код приложения и техническую информацию. Позже выяснилось, что злоумышленники использовали данные из среды разработки для атаки на другого разработчика, для чего им удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии служебных данных работника.
Раскрытие представляет собой радикальное обновление лазейки, которую LastPass раскрыл в августе. Издатель признал, что хакеры «взяли части исходного кода и некоторую проприетарную техническую информацию у LastPass». В то время компания заявила, что мастер-пароли клиентов, зашифрованные пароли, личная информация и другие данные, хранящиеся в учетных записях клиентов, не были затронуты.
256-битный AES и может быть расшифрован только с помощью уникального ключа дешифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением», — пояснил генеральный директор LastPass Карим Тубба, имея в виду схему расширенного шифрования. Нулевое знание относится к системам хранения, которые поставщик услуг не может взломать. Генеральный директор продолжил:
В нем также перечислены несколько решений, которые LastPass предпринял для усиления своей безопасности после взлома. Шаги включают вывод из эксплуатации взломанной среды разработки и ее восстановление с нуля, поддержку службы обнаружения управляемых конечных точек и реагирования на них, а также смену всех соответствующих учетных данных и сертификатов, которые могли быть скомпрометированы.
Учитывая конфиденциальность данных, хранящихся в LastPass, вызывает тревогу тот факт, что был получен такой широкий спектр персональных данных. Хотя взлом хэшей паролей потребует больших ресурсов, это не исключено, особенно с учетом метода и изобретательности злоумышленников.
Клиенты LastPass должны убедиться, что они изменили свой мастер-пароль. и все пароли, хранящиеся в вашем хранилище. Им также следует убедиться, что они используют настройки, превышающие настройки LastPass по умолчанию.
Эти конфигурации шифруют сохраненные пароли, используя 100100 2 итераций функции получения ключа на основе пароля (PBKDF100100), схемы хэширования, которая делает невозможным взлом длинных уникальных мастер-паролей, а случайно сгенерированные 310 000 итераций, к сожалению, ниже рекомендованного OWASP порога в 2 256. итераций для PBKDFXNUMX в сочетании с алгоритмом хеширования SHAXNUMX, используемым LastPass.
клиенты LastPass они также должны быть очень бдительны в отношении фишинговых писем и телефонных звонков якобы от LastPass. или другие службы, которые ищут конфиденциальные данные и другие мошеннические действия, которые используют ваши скомпрометированные личные данные. Компания также предлагает специальные рекомендации для корпоративных клиентов, внедривших службы федеративного входа LastPass.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.