LastPass là trình quản lý mật khẩu freemium lưu trữ mật khẩu được mã hóa trên đám mây, ban đầu được phát triển bởi công ty Marvasol, Inc.
Nhà phát triển quản lý mật khẩu LastPass, được sử dụng bởi hơn 33 triệu người và hơn 100.000 công ty, đã thông báo cho người dùng về một sự cố trong đó kẻ tấn công đã truy cập được vào các bản sao lưu lưu trữ với dữ liệu người dùng từ dịch vụ.
Dữ liệu bao gồm thông tin như tên người dùng, địa chỉ, email, điện thoại và địa chỉ IP mà dịch vụ được truy cập, cũng như tên trang web không được mã hóa được lưu trữ trong trình quản lý mật khẩu và thông tin đăng nhập, mật khẩu, dữ liệu biểu mẫu và ghi chú được mã hóa được lưu trữ trên các trang web này .
Để bảo vệ thông tin đăng nhập và mật khẩu của các trang web, Mã hóa AES đã được sử dụng với khóa 256 bit được tạo bằng chức năng PBKDF2 dựa trên mật khẩu chính mà chỉ người dùng mới biết, với độ dài tối thiểu là 12 ký tự. Việc mã hóa và giải mã thông tin đăng nhập và mật khẩu trong LastPass chỉ được thực hiện ở phía người dùng và việc đoán mật khẩu chính được coi là không thực tế trên phần cứng hiện đại, do kích thước của mật khẩu chính và số lần lặp được áp dụng của PBKDF2 .
Để thực hiện cuộc tấn công, họ đã sử dụng dữ liệu mà những kẻ tấn công thu được trong cuộc tấn công cuối cùng xảy ra vào tháng XNUMX và nó được thực hiện bằng cách xâm phạm tài khoản của một trong những nhà phát triển dịch vụ.
Cuộc tấn công vào tháng XNUMX dẫn đến việc những kẻ tấn công có quyền truy cập vào môi trường phát triển, mã ứng dụng và thông tin kỹ thuật. Sau đó, hóa ra những kẻ tấn công đã sử dụng dữ liệu từ môi trường phát triển để tấn công một nhà phát triển khác, nhờ đó chúng đã lấy được các khóa truy cập vào bộ lưu trữ đám mây và các khóa để giải mã dữ liệu từ các thùng chứa được lưu trữ ở đó. Các máy chủ đám mây bị xâm nhập đã lưu trữ toàn bộ bản sao lưu dữ liệu dịch vụ của nhân viên.
Tiết lộ đại diện cho một bản cập nhật ấn tượng cho lỗ hổng mà LastPass đã tiết lộ vào tháng XNUMX. Nhà xuất bản thừa nhận rằng tin tặc "đã lấy một phần mã nguồn và một số thông tin kỹ thuật độc quyền từ LastPass." Công ty cho biết vào thời điểm đó, mật khẩu chính của khách hàng, mật khẩu được mã hóa, thông tin cá nhân và dữ liệu khác được lưu trữ trong tài khoản của khách hàng không bị ảnh hưởng.
256-bit AES và chỉ có thể được giải mã bằng một khóa giải mã duy nhất được lấy từ mật khẩu chính của mỗi người dùng bằng kiến trúc Zero Knowledge của chúng tôi,” CEO Karim Toubba của LastPass giải thích, đề cập đến Sơ đồ mã hóa nâng cao. Zero Knowledge đề cập đến các hệ thống lưu trữ mà nhà cung cấp dịch vụ không thể bẻ khóa. Vị CEO nói tiếp:
Nó cũng liệt kê một số giải pháp mà LastPass đã thực hiện để tăng cường bảo mật sau vụ vi phạm. Các bước bao gồm ngừng hoạt động môi trường phát triển bị tấn công và xây dựng lại từ đầu, duy trì dịch vụ phản hồi và phát hiện điểm cuối được quản lý, đồng thời xoay vòng tất cả thông tin đăng nhập và chứng chỉ có liên quan có thể đã bị xâm phạm.
Với tính bảo mật của dữ liệu do LastPass lưu trữ, thật đáng báo động khi một lượng lớn dữ liệu cá nhân như vậy đã bị thu thập. Mặc dù việc bẻ khóa băm mật khẩu sẽ tốn nhiều tài nguyên, nhưng điều đó không phải là không thể, đặc biệt là với phương pháp và sự khéo léo của những kẻ tấn công.
Khách hàng của LastPass nên đảm bảo rằng họ đã thay đổi Mật khẩu chính và tất cả mật khẩu được lưu trữ trong kho tiền của bạn. Họ cũng nên đảm bảo rằng họ đang sử dụng cài đặt vượt quá cài đặt LastPass mặc định.
Các cấu hình này tranh giành mật khẩu được lưu trữ bằng cách sử dụng 100100 lần lặp lại của Hàm dẫn xuất khóa dựa trên mật khẩu (PBKDF2), một lược đồ băm có thể khiến không thể bẻ khóa các mật khẩu chính dài và duy nhất và 100100 lần lặp lại được tạo ngẫu nhiên nằm dưới ngưỡng 310 lần lặp lại do OWASP đề xuất cho PBKDF000 kết hợp với thuật toán băm SHA2 được sử dụng bởi LastPass.
khách hàng LastPass họ cũng nên hết sức cảnh giác với các email lừa đảo và các cuộc gọi điện thoại có ý định đến từ LastPass hoặc các dịch vụ khác tìm kiếm dữ liệu nhạy cảm và các trò gian lận khác khai thác dữ liệu cá nhân bị xâm phạm của bạn. Công ty cũng cung cấp hướng dẫn cụ thể cho các khách hàng doanh nghiệp đã triển khai dịch vụ đăng nhập được liên kết với LastPass.
Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.