LastPass je freemium správca hesiel, ktorý ukladá šifrované heslá v cloude, pôvodne vyvinutý spoločnosťou Marvasol, Inc.
Vývojári správca hesiel LastPass, ktorý používa viac ako 33 miliónov ľudí a viac ako 100.000 XNUMX spoločností, upozornil používateľov na incident, pri ktorom sa útočníkom podarilo získať prístup k zálohám skladovania s používateľskými údajmi zo služby.
Údaje zahŕňali informácie ako používateľské meno, adresa, e-mail, telefón a IP adresy, z ktorých sa k službe pristupovalo, ako aj nešifrované názvy stránok uložené v správcovi hesiel a prihlasovacie údaje, heslá, údaje z formulárov a zašifrované poznámky uložené na týchto stránkach. .
Na ochranu prihlasovacích údajov a hesiel zo stránok, Použilo sa šifrovanie AES s 256-bitovým kľúčom vygenerovaným pomocou funkcie PBKDF2 založené na hlavnom hesle, ktoré pozná iba používateľ, s minimálnou veľkosťou 12 znakov. Šifrovanie a dešifrovanie prihlasovacích údajov a hesiel v LastPass sa vykonáva iba na strane používateľa a uhádnutie hlavného hesla sa na modernom hardvéri považuje za nereálne vzhľadom na veľkosť hlavného hesla a použitý počet iterácií PBKDF2.
Na uskutočnenie útoku použili údaje, ktoré útočníci získali pri poslednom útoku v auguste a bol vykonaný kompromitovaním účtu jedného z vývojárov služby.
Augustový útok mal za následok, že útočníci získali prístup do vývojového prostredia, kód aplikácie a technické informácie. Neskôr sa ukázalo, že útočníci použili dáta z vývojového prostredia na útok na iného vývojára, pre ktorý sa im podarilo získať prístupové kľúče ku cloudovému úložisku a kľúče na dešifrovanie dát z tam uložených kontajnerov. Kompromitované cloudové servery hostili úplné zálohy servisných údajov pracovníka.
Zverejnenie predstavuje dramatickú aktualizáciu medzery, ktorú LastPass odhalil v auguste. Vydavateľ priznal, že hackeri „vzali časti zdrojového kódu a niektoré chránené technické informácie z LastPass“. Spoločnosť v tom čase uviedla, že hlavné heslá zákazníkov, šifrované heslá, osobné informácie a ďalšie údaje uložené v zákazníckych účtoch neboli ovplyvnené.
256-bitový AES a možno ho dešifrovať iba pomocou jedinečného dešifrovacieho kľúča odvodeného z hlavného hesla každého používateľa pomocou našej architektúry Zero Knowledge,“ vysvetlil generálny riaditeľ LastPass Karim Toubba s odkazom na Advanced Encryption Scheme. Nulové znalosti sa týkajú úložných systémov, ktoré poskytovateľ služby nedokáže prelomiť. Generálny riaditeľ pokračoval:
Uvádza tiež niekoľko riešení, ktoré LastPass použil na posilnenie svojej bezpečnosti po narušení. Kroky zahŕňajú vyradenie napadnutého vývojového prostredia z prevádzky a prestavbu od nuly, udržiavanie riadenej služby detekcie a odozvy koncových bodov a rotáciu všetkých relevantných poverení a certifikátov, ktoré mohli byť ohrozené.
Vzhľadom na dôvernosť údajov, ktoré LastPass uchováva, je alarmujúce, že bol získaný taký široký rozsah osobných údajov. Aj keď by prelomenie hash hesiel bolo náročné na zdroje, nie je to vylúčené, najmä vzhľadom na metódu a vynaliezavosť útočníkov.
Zákazníci LastPass by sa mali uistiť, že zmenili svoje hlavné heslo a všetky heslá uložené vo vašom trezore. Mali by sa tiež uistiť, že používajú nastavenia, ktoré presahujú predvolené nastavenia LastPass.
Tieto konfigurácie zakódujú uložené heslá pomocou 100100 2 iterácií funkcie odvodenia kľúča založeného na hesle (PBKDF100100), hašovacej schémy, ktorá môže znemožniť prelomenie dlhých, jedinečných hlavných hesiel, a náhodne vygenerovaných 310 000 iterácií je žalostne pod hranicou 2 256 odporúčanou OWASP. iterácií pre PBKDFXNUMX v kombinácii s hashovacím algoritmom SHAXNUMX, ktorý používa LastPass.
Zákazníci LastPass mali by byť tiež veľmi opatrní pri phishingových e-mailoch a telefónnych hovoroch, ktoré údajne pochádzajú z LastPass alebo iné služby, ktoré vyhľadávajú citlivé údaje a iné podvody, ktoré zneužívajú vaše napadnuté osobné údaje. Spoločnosť tiež ponúka špecifické pokyny pre podnikových zákazníkov, ktorí implementovali služby federovaného prihlasovania LastPass.
Nakoniec, ak máte záujem dozvedieť sa o tom viac, môžete sa obrátiť na podrobnosti Na nasledujúcom odkaze.