Obsah
LastPass potvrdil, že hackeři získali uživatelská hesla
Správce hesel LastPass odhaluje podrobnosti o nejnovějším hacku platformy
Zástupci správce hesel LastPass hovořili o podrobnostech hacku, při kterém hackeři získali přístup ke cloudovému úložišti třetí strany s archivními záložními kopiemi firemních dat.
Podle vyšetřování útočník získal přístup do prostředí cloudového úložiště pomocí informací získaných v důsledku incidentu v srpnu 2022. Poté byl odcizen kód a technické informace vývojového prostředí, které hacker použil k phishingovému útoku na zaměstnance LastPass. Nakonec získal přihlašovací údaje a klíče používané k přístupu a dešifrování některých úložných svazků ve službě cloudového úložiště.
Produkční služby LastPass v současné době běží v místních datových centrech s cloudovým úložištěm používaným k ukládání záloh a splňují regionální požadavky na umístění. Služba cloudového úložiště, ke které útočník přistupuje, je fyzicky oddělená od produkčního prostředí, tvrdí LastPass.
Po získání přístupového klíče cloudového úložiště hacker zkopíroval informace ze zálohy, která obsahovala základní informace o zákaznickém účtu a související metadata, včetně názvů společností, jmen koncových uživatelů, fakturačních adres, e-mailu, telefonních čísel a IP adres, ze kterých zákazníci přistupovali k Služba LastPass.
Útočníkovi se také podařilo zkopírovat zálohu dat zákaznického úložiště ze zašifrovaného kontejneru, který je uložen v proprietárním binárním formátu s nešifrovanými daty, jako jsou adresy URL webových stránek, a plně zašifrovaná data, jako jsou uživatelská jména a hesla. Tato pole zůstávají chráněna pomocí 256bitového šifrování AES a lze je dešifrovat pouze pomocí jedinečného klíče odvozeného z hlavního hesla každého uživatele. Šifrování a dešifrování dat se provádí pouze na lokálním klientovi LastPass.
Jak varují zástupci správce hesel, útočník se může pokusit pomocí hackerských metod uhodnout hlavní heslo a dešifrovat kopie dat úložiště. Společnost pravidelně testuje nejnovější technologie prolomení hesel z hlediska souladu s jejími algoritmy.
Útočník by se také mohl zaměřit na zákazníky prostřednictvím phishingových útoků, naplňování pověření nebo jiných útoků souvisejících s úložištěm LastPass. Zástupci manažera varovali, že nikdy nebudou volat, e-mailovat nebo psát SMS uživatelům s žádostí, aby klikli na odkaz pro ověření osobních údajů. S výjimkou přihlášení do trezoru z klienta LastPass správce nikdy nepožaduje hlavní heslo. LastPass připomněl, že současné požadavky vyžadují použití alespoň dvanácti znaků pro hlavní hesla.
Správce také používá silnější než obvykle implementaci iterací funkce generování klíčů založených na hesle (PBKDF2), algoritmu pro posílení hesla, který ztěžuje uhodnutí. Aktuální počet iterací PBKDF2 pro účet lze vždy zkontrolovat.
LastPass nakonec doporučuje, abyste své hlavní heslo nikdy znovu nepoužili na jiných webech.
Manažer zdůraznil, že útočník neměl přístup ke klíčovým fragmentům uloženým v Customer Identity Provider nebo LastPass infrastruktuře, a pokud uživatelé implementovali Federated Login Services, nemusí provádět žádné další akce.
Aby manažer zabránil přístupu do vývojového prostředí LastPass, vytvoří nové s dalšími možnostmi protokolování a výstrahami, aby zjistil jakoukoli neoprávněnou aktivitu.
Společnost o tomto incidentu informovala orgány činné v trestním řízení a příslušné regulační orgány.
LastPass již dříve připustil, že útočníci byli schopni hacknout platformu dvakrát během čtyř měsíců.