Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя пользователя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые в зашифрованном виде логины, пароли, данные форм и примечания к этим сайтам.
Для защиты логинов и паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка логинов и паролей в LastPass осуществляется только на стороне пользователя, а подбор мастер-пароля рассматривается как нереалистичный на современном оборудовании, учитывая размер мастер-пароля и применённое число итераций PBKDF2 (100,100).
Для совершения атаки использовались данные, полученные атакующими в ходе прошлой атаки, произошедшей в августе и совершённой через компрометацию учётной записи одного из разработчиков сервиса. Августовский взлом привёл к попаданию в руки злоумышленников доступа к окружению для разработки, коду приложения и технической информации. Позднее выяснилось, что атакующие воспользовались данными из среды для разработки для атаки на другого разработчика, в результате которой удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.
Дополнение: Начали появляться сведения о компрометации учётных записей, пароли которых хранились только в LastPass. Предполагается, что представители LastPass что-то недоговаривают и в применяемом в LastPass методе шифрования паролей возможно какой-то изъян, снижающий сложность подбора ключа при использовании PBKDF2. Также не исключено, что это лишь совпадение и утечка произошла на системе пользователя, которая была целенаправлено атакована с использованием какой-то неизвестной (0day) уязвимости (пострадавший утверждает, что вредоносного ПО и следов атак на его системе не выявлено).