Ang LastPass ay isang freemium password manager na nag-iimbak ng mga naka-encrypt na password sa cloud, na orihinal na binuo ng kumpanyang Marvasol, Inc.
Mga Nag-develop tagapamahala ng password LastPass, na ginagamit ng higit sa 33 milyong tao at higit sa 100.000 kumpanya, nag-abiso sa mga user tungkol sa isang insidente kung saan na-access ng mga attacker ang mga backup ng imbakan gamit ang data ng gumagamit mula sa serbisyo.
Kasama sa data ang impormasyon tulad ng username, address, email, telepono, at mga IP address kung saan na-access ang serbisyo, pati na rin ang mga hindi naka-encrypt na pangalan ng site na nakaimbak sa tagapamahala ng password at mga login, password, data ng form, at naka-encrypt na tala na nakaimbak sa mga site na ito. .
Upang protektahan ang mga login at password ng mga site, Ang AES encryption ay ginamit gamit ang isang 256-bit key na nabuo gamit ang PBKDF2 function batay sa master password na alam lang ng user, na may minimum na laki na 12 character. Ang pag-encrypt at pag-decryption ng mga login at password sa LastPass ay ginagawa lamang sa gilid ng gumagamit, at ang paghula sa master password ay itinuturing na hindi makatotohanan sa modernong hardware, dahil sa laki ng master password at ang inilapat na bilang ng mga pag-ulit ng PBKDF2 .
Upang maisagawa ang pag-atake, ginamit nila ang data na nakuha ng mga umaatake noong huling pag-atake na naganap noong Agosto at ito ay isinagawa sa pamamagitan ng pagkompromiso sa account ng isa sa mga developer ng serbisyo.
Ang pag-atake noong Agosto ay nagresulta sa pagkakaroon ng access sa mga umaatake sa kapaligiran ng pag-unlad, application code at teknikal na impormasyon. Nang maglaon, lumabas na ang mga umaatake ay gumamit ng data mula sa kapaligiran ng pag-unlad upang atakehin ang isa pang developer, kung saan nakuha nila ang mga access key sa cloud storage at mga susi upang i-decrypt ang data mula sa mga container na nakaimbak doon. Ang mga nakompromisong cloud server ay nagho-host ng buong backup ng data ng serbisyo ng manggagawa.
Ang pagsisiwalat ay kumakatawan sa isang dramatikong pag-update sa isang butas na isiniwalat ng LastPass noong Agosto. Kinilala ng publisher na ang mga hacker ay "kumuha ng mga bahagi ng source code at ilang proprietary teknikal na impormasyon mula sa LastPass." Sinabi ng kumpanya noong panahong iyon na ang mga master password ng customer, mga naka-encrypt na password, personal na impormasyon at iba pang data na nakaimbak sa mga account ng customer ay hindi apektado.
256-bit AES at maaari lamang i-decrypt gamit ang isang natatanging decryption key na nagmula sa master password ng bawat user gamit ang aming Zero Knowledge architecture,” paliwanag ng LastPass CEO na si Karim Toubba, na tumutukoy sa Advanced Encryption Scheme. Ang Zero Knowledge ay tumutukoy sa mga storage system na imposibleng ma-crack ng service provider. Nagpatuloy ang CEO:
Naglista rin ito ng ilang solusyon na kinuha ng LastPass upang palakasin ang seguridad nito pagkatapos ng paglabag. Kasama sa mga hakbang ang pag-decommission sa na-hack na development environment at muling pagtatayo mula sa simula, pagpapanatili ng pinamamahalaang endpoint detection at response service, at pag-rotate ng lahat ng nauugnay na kredensyal at certificate na maaaring nakompromiso.
Dahil sa pagiging kumpidensyal ng data na nakaimbak ng LastPass, nakababahala na ang ganoong malawak na hanay ng personal na data ay nakuha. Bagama't ang pag-crack ng mga hash ng password ay magiging masinsinang mapagkukunan, ito ay hindi sa labas ng tanong, lalo na kung ang paraan at katalinuhan ng mga umaatake.
Dapat tiyakin ng mga customer ng LastPass na binago nila ang kanilang Master Password at lahat ng password na nakaimbak sa iyong vault. Dapat din nilang tiyakin na gumagamit sila ng mga setting na lumalampas sa mga default na setting ng LastPass.
Ang mga configuration na ito ay nag-aagawan ng mga naka-imbak na password gamit ang 100100 na mga pag-ulit ng Password Based Key Derivation Function (PBKDF2), isang hashing scheme na maaaring gawing imposibleng ma-crack ang mahaba, natatanging master password, at ang random na nabuong 100100 na mga pag-ulit ay nakalulungkot sa ilalim ng OWASP-recommended threshold na 310 mga pag-ulit para sa PBKDF000 kasama ang SHA2 hash algorithm na ginagamit ng LastPass.
Mga customer ng LastPass dapat din silang maging maingat tungkol sa mga phishing na email at mga tawag sa telepono na sinasabing mula sa LastPass o iba pang mga serbisyo na naghahanap ng sensitibong data at iba pang mga scam na nagsasamantala sa iyong nakompromisong personal na data. Nag-aalok din ang kumpanya ng partikular na patnubay para sa mga customer ng enterprise na nagpatupad ng mga serbisyo sa pag-login sa federated na LastPass.
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.