開發者 密碼管理器 LastPass的,被超過33萬人和超過100.000家公司使用, 通知用戶有關攻擊者設法訪問備份的事件 存儲量 與用戶數據 從服務。
數據包括訪問服務的用戶名、地址、電子郵件、電話和 IP 地址等信息,以及存儲在密碼管理器中的未加密站點名稱和存儲在這些站點上的登錄名、密碼、表單數據和加密註釋.
保護登錄名和密碼 的網站, AES 加密與使用 PBKDF256 函數生成的 2 位密鑰一起使用 基於只有用戶知道的主密碼,最小長度為 12 個字符。 LastPass 中登錄名和密碼的加密和解密僅在用戶端完成,考慮到主密碼的大小和 PBKDF2 的應用迭代次數,猜測主密碼在現代硬件上被認為是不現實的。
為進行攻擊,他們使用了攻擊者在 XNUMX 月發生的最後一次攻擊中獲得的數據,該攻擊是通過破壞其中一名服務開發人員的帳戶來實現的。
XNUMX 月的攻擊導致攻擊者獲得了開發環境的訪問權限、應用程序代碼和技術信息。 後來發現,攻擊者使用開發環境中的數據攻擊另一名開發人員,為此他們設法獲得了雲存儲的訪問密鑰和用於解密存儲在那裡的容器中的數據的密鑰。 受感染的雲服務器託管了員工服務數據的完整備份。
該披露代表了對 LastPass 在 XNUMX 月份披露的漏洞的重大更新。 該出版商承認黑客“從 LastPass 獲取了部分源代碼和一些專有技術信息”。 該公司當時表示,客戶賬戶中存儲的客戶主密碼、加密密碼、個人信息和其他數據沒有受到影響。
256 位 AES,並且只能使用我們的零知識架構從每個用戶的主密碼派生的唯一解密密鑰進行解密,”LastPass 首席執行官 Karim Toubba 解釋說,他指的是高級加密方案。 零知識是指服務提供商無法破解的存儲系統。 首席執行官繼續說道:
它還列出了 LastPass 在遭到破壞後為加強安全性而採取的幾種解決方案。 步驟包括停用被黑的開發環境並從頭開始重建,維護託管端點檢測和響應服務,以及輪換所有可能已被破壞的相關憑據和證書。
鑑於 LastPass 存儲的數據的機密性,獲得如此廣泛的個人數據令人擔憂。 雖然破解密碼哈希會佔用大量資源,但這並非不可能,尤其是考慮到攻擊者的方法和獨創性。
LastPass 客戶應確保他們已更改主密碼 以及存儲在您的保險庫中的所有密碼。 他們還應確保他們使用的設置超過默認的 LastPass 設置。
這些配置使用基於密碼的密鑰派生函數 (PBKDF100100) 的 2 次迭代來打亂存儲的密碼,這是一種哈希方案,可以使破解長的唯一主密碼變得不可能,並且隨機生成的 100100 次迭代嚴重低於 OWASP 推薦的 310 次迭代閾值PBKDF000 結合 LastPass 使用的 SHA2 哈希算法。
LastPass 客戶 他們還應該非常警惕聲稱來自 LastPass 的網絡釣魚電子郵件和電話 或其他尋求敏感數據的服務和其他利用您洩露的個人數據的騙局。 該公司還為已實施 LastPass 聯合登錄服務的企業客戶提供具體指導。
最後,如果你有興趣了解更多,可以諮詢詳情 在下面的鏈接中。