Резервные копии с данными пользователей LastPass утекли

23 декабря 2022 года

Логотип LastPass

Разработчики менеджера паролей w:LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя пользователя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые в зашифрованном виде логины, пароли, данные форм и примечания к этим сайтам.

Для защиты логинов и паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка логинов и паролей в LastPass осуществляется только на стороне пользователя, а подбор мастер-пароля рассматривается как нереалистичный на современном оборудовании, учитывая размер мастер-пароля и применённое число итераций PBKDF2.

Для совершения атаки использовались данные, полученные атакующими в ходе прошлой атаки, произошедшей в августе и совершённой через компрометацию учётной записи одного из разработчиков сервиса. Августовский взлом привёл к попаданию в руки злоумышленников доступа к окружению для разработки, коду приложения и технической информации. Позднее выяснилось, что атакующие воспользовались данными из среды для разработки для атаки на другого разработчика, в результате которой удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.

СсылкиПравить

ИсточникиПравить

Эта статья содержит материалы из статьи «Утечка резервных копий с данными пользователей LastPass», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.