LastPass เป็นตัวจัดการรหัสผ่านฟรีเมียมที่จัดเก็บรหัสผ่านที่เข้ารหัสไว้ในคลาวด์ ซึ่งพัฒนาโดยบริษัท Marvasol, Inc.
นักพัฒนา ผู้จัดการรหัสผ่าน LastPassซึ่งมีผู้ใช้งานมากกว่า 33 ล้านคนและบริษัทมากกว่า 100.000 แห่ง แจ้งผู้ใช้เกี่ยวกับเหตุการณ์ที่ผู้โจมตีสามารถเข้าถึงข้อมูลสำรองได้ ของการจัดเก็บ ด้วยข้อมูลผู้ใช้ จากบริการ
ข้อมูลประกอบด้วยข้อมูลต่างๆ เช่น ชื่อผู้ใช้ ที่อยู่ อีเมล โทรศัพท์ และที่อยู่ IP ที่เข้าถึงบริการ ตลอดจนชื่อไซต์ที่ไม่ได้เข้ารหัสที่จัดเก็บไว้ในตัวจัดการรหัสผ่านและการเข้าสู่ระบบ รหัสผ่าน ข้อมูลในแบบฟอร์ม และบันทึกย่อที่เข้ารหัสซึ่งจัดเก็บไว้ในไซต์เหล่านี้ .
เพื่อป้องกันการเข้าสู่ระบบและรหัสผ่าน ของเว็บไซต์ การเข้ารหัส AES ใช้กับคีย์ 256 บิตที่สร้างขึ้นโดยใช้ฟังก์ชัน PBKDF2 ขึ้นอยู่กับรหัสผ่านหลักที่ผู้ใช้รู้จักเท่านั้น โดยมีความยาวขั้นต่ำ 12 อักขระ การเข้ารหัสและถอดรหัสการเข้าสู่ระบบและรหัสผ่านใน LastPass ทำได้เฉพาะฝั่งผู้ใช้ และการเดารหัสผ่านหลักถือว่าไม่สมจริงบนฮาร์ดแวร์สมัยใหม่ เนื่องจากขนาดของรหัสผ่านหลักและจำนวนการวนซ้ำของ PBKDF2 ที่ใช้
ในการดำเนินการโจมตี พวกเขาใช้ข้อมูลที่ผู้โจมตีได้รับระหว่างการโจมตีครั้งล่าสุดที่เกิดขึ้นในเดือนสิงหาคม และดำเนินการโดยประนีประนอมกับบัญชีของหนึ่งในผู้พัฒนาบริการ
การโจมตีในเดือนสิงหาคมส่งผลให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมการพัฒนาได้รหัสแอปพลิเคชันและข้อมูลทางเทคนิค ต่อมาปรากฎว่าผู้โจมตีใช้ข้อมูลจากสภาพแวดล้อมการพัฒนาเพื่อโจมตีนักพัฒนารายอื่น ซึ่งพวกเขาจัดการเพื่อรับคีย์การเข้าถึงที่เก็บข้อมูลบนคลาวด์และคีย์เพื่อถอดรหัสข้อมูลจากคอนเทนเนอร์ที่เก็บไว้ที่นั่น เซิร์ฟเวอร์คลาวด์ที่ถูกบุกรุกโฮสต์การสำรองข้อมูลบริการของพนักงานทั้งหมด
การเปิดเผยนี้แสดงถึงการอัปเดตอย่างมากสำหรับช่องโหว่ที่ LastPass เปิดเผยในเดือนสิงหาคม ผู้เผยแพร่ยอมรับว่าแฮ็กเกอร์ "นำซอร์สโค้ดบางส่วนและข้อมูลทางเทคนิคที่เป็นกรรมสิทธิ์บางส่วนจาก LastPass" บริษัทกล่าวในเวลานั้นว่ารหัสผ่านหลักของลูกค้า รหัสผ่านที่เข้ารหัส ข้อมูลส่วนบุคคล และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในบัญชีของลูกค้าจะไม่ได้รับผลกระทบ
AES 256 บิตและสามารถถอดรหัสได้ด้วยคีย์ถอดรหัสเฉพาะที่ได้รับจากรหัสผ่านหลักของผู้ใช้แต่ละคนโดยใช้สถาปัตยกรรม Zero Knowledge ของเรา” Karim Toubba CEO ของ LastPass อธิบายโดยอ้างถึง Advanced Encryption Scheme Zero Knowledge หมายถึงระบบจัดเก็บข้อมูลที่ผู้ให้บริการไม่สามารถถอดรหัสได้ CEO กล่าวต่อ:
นอกจากนี้ยังแสดงรายการโซลูชันต่างๆ ที่ LastPass ใช้เพื่อเพิ่มความปลอดภัยหลังจากการละเมิด ขั้นตอนต่างๆ ได้แก่ การเลิกใช้งานสภาพแวดล้อมการพัฒนาที่ถูกแฮ็กและสร้างใหม่ตั้งแต่ต้น การรักษาบริการตรวจจับและตอบสนองปลายทางที่มีการจัดการ และการหมุนเวียนข้อมูลประจำตัวและใบรับรองที่เกี่ยวข้องทั้งหมดที่อาจถูกบุกรุก
เมื่อพิจารณาถึงความลับของข้อมูลที่ LastPass จัดเก็บไว้ มันเป็นเรื่องน่าตกใจที่มีการได้รับข้อมูลส่วนบุคคลจำนวนมากเช่นนี้ แม้ว่าการถอดรหัสแฮชรหัสผ่านจะใช้ทรัพยากรมาก แต่ก็ไม่เป็นปัญหา โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากวิธีการและความเฉลียวฉลาดของผู้โจมตี
ลูกค้า LastPass ควรตรวจสอบให้แน่ใจว่าได้เปลี่ยนรหัสผ่านมาสเตอร์แล้ว และรหัสผ่านทั้งหมดที่จัดเก็บไว้ในห้องนิรภัยของคุณ พวกเขาควรตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้การตั้งค่าที่เกินกว่าการตั้งค่าเริ่มต้นของ LastPass
การกำหนดค่าเหล่านี้จะช่วงชิงรหัสผ่านที่เก็บไว้โดยใช้การวนซ้ำ 100100 ครั้งของฟังก์ชันการระบุรหัสตามรหัสผ่าน (PBKDF2) ซึ่งเป็นรูปแบบการแฮชที่ทำให้ไม่สามารถถอดรหัสรหัสผ่านหลักที่ยาวและไม่ซ้ำกัน และการวนซ้ำ 100100 ครั้งที่สร้างขึ้นแบบสุ่มนั้นต่ำกว่าเกณฑ์ที่แนะนำของ OWASP ที่ 310 การวนซ้ำสำหรับ PBKDF000 ร่วมกับอัลกอริธึมแฮช SHA2 ที่ใช้โดย LastPass
ลูกค้า LastPass พวกเขาควรระมัดระวังอย่างมากเกี่ยวกับอีเมลฟิชชิ่งและโทรศัพท์ที่อ้างว่ามาจาก LastPass หรือบริการอื่น ๆ ที่แสวงหาข้อมูลที่ละเอียดอ่อนและการหลอกลวงอื่น ๆ ที่ใช้ประโยชน์จากข้อมูลส่วนบุคคลของคุณที่ถูกบุกรุก บริษัทยังให้คำแนะนำเฉพาะสำหรับลูกค้าองค์กรที่ได้ใช้บริการเข้าสู่ระบบแบบรวมศูนย์ของ LastPass
สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม สามารถปรึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.