Утечка резервных копий с данными пользователей LastPass
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые зашифрованные пароли к ним.
Для защиты паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка паролей в LastPass осуществляется только на стороне пользователя, а подбор мастер-пароля рассматривается как нереалистичный на современном оборудовании, учитывая размер мастер-пароля и применённое число итераций PBKDF2.
Для совершения атаки использовались данные, полученные атакующими в ходе прошлой атаки, произошедшей в августе и совершённой через компрометацию учётной записи одного из разработчиков сервиса. Августовский взлом привёл к попаданию в руки злоумышленников доступа к окружению для разработки, коду приложения и технической информации. Позднее выяснилось, что атакующие воспользовались данными из среды для разработки для атаки на другого разработчика, в результате которой удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.lastpass.com/2022...)
- OpenNews: В Chrome выявлена утечка паролей из полей с предпросмотром скрытого ввода
- OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
- OpenNews: Продемонстрирован взлом терминала Starlink
- OpenNews: Взлом провайдера GoDaddy, приведший к компрометации 1.2 млн клиентов WordPress-хостинга
- OpenNews: Попытка захвата учётных записей Signal через компрометацию SMS-сервиса Twilio
Похожие новости:
- Избавление ядра Linux от кода, меняющего поведение для процессов, начинающихся на символ X
- Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
- Lotus 1-2-3 портирован для Linux
- Утечка кода продуктов, сервисов и механизмов защиты компании Samsung
- Взломавшие NVIDIA потребовали от компании перевести драйверы в разряд Open Source
- Взлом провайдера GoDaddy, приведший к компрометации 1.2 млн клиентов WordPress-хостинга
- В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО
- Сервер проекта MidnightBSD подвергся взлому
- [Разработка веб-сайтов, CSS, HTML] Дизайнерский Multiselect на протеинах
Теги для поиска: #_lastpass, #_hack
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 04:01
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые зашифрованные пароли к ним. Для защиты паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка паролей в LastPass осуществляется только на стороне пользователя, а подбор мастер-пароля рассматривается как нереалистичный на современном оборудовании, учитывая размер мастер-пароля и применённое число итераций PBKDF2. Для совершения атаки использовались данные, полученные атакующими в ходе прошлой атаки, произошедшей в августе и совершённой через компрометацию учётной записи одного из разработчиков сервиса. Августовский взлом привёл к попаданию в руки злоумышленников доступа к окружению для разработки, коду приложения и технической информации. Позднее выяснилось, что атакующие воспользовались данными из среды для разработки для атаки на другого разработчика, в результате которой удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 04:01
Часовой пояс: UTC + 5