LastPass është një menaxher i fjalëkalimeve freemium që ruan fjalëkalime të koduara në cloud, i zhvilluar fillimisht nga kompania Marvasol, Inc.
Zhvilluesit menaxher i fjalëkalimeve LastPass, i cili përdoret nga më shumë se 33 milionë njerëz dhe më shumë se 100.000 kompani, njoftoi përdoruesit për një incident në të cilin sulmuesit arritën të hynin në kopje rezervë të ruajtjes me të dhënat e përdoruesit nga shërbimi.
Të dhënat përfshinin informacione të tilla si emri i përdoruesit, adresa, emaili, telefoni dhe adresat IP nga të cilat është aksesuar shërbimi, si dhe emrat e pashifruar të faqeve të ruajtura në menaxherin e fjalëkalimeve dhe hyrjet, fjalëkalimet, të dhënat e formularit dhe shënimet e enkriptuara të ruajtura në këto sajte. .
Për të mbrojtur hyrjet dhe fjalëkalimet të vendeve, Kriptimi AES u përdor me një çelës 256-bit të gjeneruar duke përdorur funksionin PBKDF2 bazuar në një fjalëkalim kryesor të njohur vetëm për përdoruesin, me një gjatësi minimale prej 12 karakteresh. Kriptimi dhe deshifrimi i hyrjeve dhe fjalëkalimeve në LastPass bëhet vetëm në anën e përdoruesit, dhe hamendja e fjalëkalimit kryesor konsiderohet joreale në pajisjet moderne, duke pasur parasysh madhësinë e fjalëkalimit kryesor dhe numrin e aplikuar të përsëritjeve të PBKDF2.
Për të kryer sulmin, ata përdorën të dhënat e marra nga sulmuesit gjatë sulmit të fundit që ndodhi në gusht dhe ai u krye duke kompromentuar llogarinë e një prej zhvilluesve të shërbimit.
Sulmi i gushtit rezultoi që sulmuesit të fitonin akses në mjedisin e zhvillimit, kodin e aplikimit dhe informacionin teknik. Më vonë doli se sulmuesit përdorën të dhëna nga mjedisi i zhvillimit për të sulmuar një zhvillues tjetër, për të cilin ata arritën të merrnin çelësat e aksesit në ruajtjen e cloud dhe çelësat për të deshifruar të dhënat nga kontejnerët e ruajtur atje. Serverët cloud të komprometuar strehonin kopje rezervë të plotë të të dhënave të shërbimit të punonjësit.
Zbulimi përfaqëson një përditësim dramatik të një zbrazëtie që LastPass zbuloi në gusht. Botuesi pranoi se hakerët "morën pjesë të kodit burimor dhe disa informacione teknike të pronarit nga LastPass". Kompania tha në atë kohë se fjalëkalimet kryesore të klientëve, fjalëkalimet e koduara, informacionet personale dhe të dhënat e tjera të ruajtura në llogaritë e klientëve nuk u prekën.
AES 256-bit dhe mund të deshifrohet vetëm me një çelës unik dekriptimi që rrjedh nga fjalëkalimi kryesor i çdo përdoruesi duke përdorur arkitekturën tonë të njohurive Zero,” shpjegoi CEO i LastPass, Karim Toubba, duke iu referuar Skemës së Enkriptimit të Avancuar. Zero Knowledge i referohet sistemeve të ruajtjes që është e pamundur që ofruesi i shërbimit t'i prishë. CEO vazhdoi:
Ai renditi gjithashtu disa zgjidhje që LastPass mori për të forcuar sigurinë e tij pas shkeljes. Hapat përfshijnë çaktivizimin e mjedisit të zhvillimit të hakuar dhe rindërtimin nga e para, mbajtjen e një shërbimi të menaxhuar të zbulimit dhe përgjigjes së pikës fundore dhe rrotullimin e të gjitha kredencialeve dhe certifikatave përkatëse që mund të jenë komprometuar.
Duke pasur parasysh konfidencialitetin e të dhënave të ruajtura nga LastPass, është alarmante që është marrë një gamë kaq e gjerë të dhënash personale. Ndërsa thyerja e hasheve të fjalëkalimeve do të ishte intensive me burime, nuk përjashtohet diskutimi, veçanërisht duke pasur parasysh metodën dhe zgjuarsinë e sulmuesve.
Klientët e LastPass duhet të sigurohen që kanë ndryshuar fjalëkalimin e tyre Master dhe të gjitha fjalëkalimet e ruajtura në kasafortën tuaj. Ata gjithashtu duhet të sigurojnë që po përdorin cilësime që tejkalojnë cilësimet e paracaktuara të LastPass.
Këto konfigurime përziejnë fjalëkalimet e ruajtura duke përdorur 100100 përsëritje të funksionit të derivimit të çelësit të bazuar në fjalëkalim (PBKDF2), një skemë hashimi që mund ta bëjë të pamundur thyerjen e fjalëkalimeve të gjata dhe unike dhe 100100 përsëritjet e krijuara në mënyrë të rastësishme janë mjerisht të miratuara nga 310. përsëritje për PBKDF000 në kombinim me algoritmin hash SHA2 të përdorur nga LastPass.
Klientët e LastPass ata gjithashtu duhet të jenë shumë vigjilentë në lidhje me emailet e phishing dhe thirrjet telefonike që pretendohet se janë nga LastPass ose shërbime të tjera që kërkojnë të dhëna të ndjeshme dhe mashtrime të tjera që shfrytëzojnë të dhënat tuaja personale të komprometuara. Kompania ofron gjithashtu udhëzime specifike për klientët e ndërmarrjeve që kanë zbatuar shërbimet e identifikimit të Federatës LastPass.
Së fundi, nëse jeni të interesuar të dini më shumë për të, mund të konsultoheni me detajet Në lidhjen vijuese.