LastPass är en freemium lösenordshanterare som lagrar krypterade lösenord i molnet, ursprungligen utvecklad av företaget Marvasol, Inc.
Utvecklare lösenordshanteraren Lastpass, som används av mer än 33 miljoner människor och mer än 100.000 XNUMX företag, meddelade användare om en incident där angripare lyckades komma åt säkerhetskopior av lagring med användardata Från tjänsten.
Uppgifterna inkluderade information som användarnamn, adress, e-post, telefon och IP-adresser från vilka tjänsten nås, såväl som okrypterade webbplatsnamn lagrade i lösenordshanteraren och inloggningar, lösenord, formulärdata och krypterade anteckningar lagrade på dessa webbplatser .
För att skydda inloggningar och lösenord av webbplatserna, AES-kryptering användes med en 256-bitars nyckel genererad med PBKDF2-funktionen baserat på ett huvudlösenord som endast är känt för användaren, med en minsta storlek på 12 tecken. Kryptering och dekryptering av inloggningar och lösenord i LastPass görs endast på användarsidan, och att gissa huvudlösenordet anses orealistiskt på modern hårdvara, med tanke på storleken på huvudlösenordet och det använda antalet iterationer av PBKDF2 .
För att utföra attacken använde de data som angriparna inhämtade under den senaste attacken som inträffade i augusti och den genomfördes genom att kompromissa med kontot för en av tjänsteutvecklarna.
Augustattacken resulterade i att angriparna fick tillgång till utvecklingsmiljön, applikationskod och teknisk information. Senare visade det sig att angriparna använde data från utvecklingsmiljön för att attackera en annan utvecklare, för vilket de lyckades skaffa åtkomstnycklar till molnlagring och nycklar för att dekryptera data från behållarna som lagrats där. De komprometterade molnservrarna var värd för fullständiga säkerhetskopior av arbetarens tjänstdata.
Avslöjandet representerar en dramatisk uppdatering av ett kryphål som LastPass avslöjade i augusti. Utgivaren erkände att hackarna "tog delar av källkoden och viss proprietär teknisk information från LastPass." Företaget sa då att kundens huvudlösenord, krypterade lösenord, personlig information och annan data lagrad på kundkonton inte påverkades.
256-bitars AES och kan endast dekrypteras med en unik dekrypteringsnyckel som härrör från varje användares huvudlösenord med vår Zero Knowledge-arkitektur”, förklarade LastPass VD Karim Toubba, med hänvisning till Advanced Encryption Scheme. Zero Knowledge avser lagringssystem som är omöjliga för tjänsteleverantören att knäcka. VD fortsatte:
Den listade också flera lösningar som LastPass tog för att stärka sin säkerhet efter intrånget. Stegen inkluderar avveckling av den hackade utvecklingsmiljön och återuppbyggnad från grunden, underhåll av en hanterad slutpunktsdetektering och svarstjänst och rotation av alla relevanta referenser och certifikat som kan ha äventyrats.
Med tanke på sekretessen för de uppgifter som lagras av LastPass är det alarmerande att ett så brett utbud av personuppgifter har erhållits. Även om det skulle vara resurskrävande att knäcka lösenordshashar, är det inte uteslutet, särskilt med tanke på angriparnas metod och uppfinningsrikedom.
LastPass-kunder bör se till att de har ändrat sitt huvudlösenord och alla lösenord lagrade i ditt valv. De bör också se till att de använder inställningar som överskrider standardinställningarna för LastPass.
Dessa konfigurationer förvränger lagrade lösenord med 100100 2 iterationer av PBKDF100100 (Password Based Key Derivation Function), ett hashschema som kan göra det omöjligt att knäcka långa, unika huvudlösenord, och de slumpmässigt genererade 310 000 iterationerna ligger tyvärr under den OWASP-rekommenderade tröskeln på 2 iterationer för PBKDF256 i kombination med SHAXNUMX-hashalgoritmen som används av LastPass.
LastPass-kunder de bör också vara mycket vaksamma på nätfiske-e-post och telefonsamtal som utger sig vara från LastPass eller andra tjänster som söker efter känsliga uppgifter och andra bedrägerier som utnyttjar dina komprometterade personuppgifter. Företaget erbjuder också specifik vägledning för företagskunder som har implementerat LastPass federerade inloggningstjänster.
Slutligen, om du är intresserad av att veta mer om det kan du läsa detaljerna I följande länk.