Еще в августе этого года менеджер паролей LastPass был взломан, что привело к краже частной технической информации и частей исходного кода компании. Затем хакеры использовали украденную информацию для повторного взлома LastPass в конце ноября. Вскоре после этого последующего взлома компания сообщила, что злоумышленники украли информацию о клиентах, но не уточнила какая информация была украдена. Теперь генеральный директор LastPass Карим Тубба опубликовал заявление, в котором говорится, что хакерам удалось получить доступ к хранилищам паролей клиентов.

Взлом в августе затронул среду разработки LastPass, которая не содержала никакой информации о клиентах. Однако целью недавнего взлома была служба облачного хранилища, содержащая удаленные резервные копии данных клиентов. Хакеры использовали информацию украденную во время августовского взлома, чтобы атаковать фишинговой атакой сотрудника LastPass и получить ключи доступа и дешифрования для контейнера облачного хранилища компании. Благодаря этим ключам злоумышленники смогли получить несанкционированный доступ к контейнеру хранилища и сделать копии хранящихся в нем резервных данных.

Украденные данные включают информацию об учетных записях клиентов и метаданные, такие как названия компаний, имена пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса, а также данные хранилища. В этих хранилищах хранятся пароли клиентов и другие учетные данные. Хотя у злоумышленников теперь есть копии этих хранилищ, все пароли, имена пользователей, защищенные заметки и данные, заполненные формами, остаются зашифрованными. Однако, в отличие от хранилищ некоторых менеджеров паролей, таких как Bitwarden, хранилища клиентов LastPass содержат некоторые незашифрованные данные, включая URL-адреса веб-сайтов связанные с каждой записью в хранилище. Эта незашифрованная информация может позволить злоумышленникам определить веб-сайты, на которых есть учетные записи пользователей LastPass.

Однако на этом угрозы не заканчиваются. Важно отметить, что у злоумышленников теперь есть собственная копия хранилищ клиентов LastPass. Вместо того, чтобы пытаться получить доступ к зашифрованной информации в хранилищах клиентов непосредственно на серверах LastPass, где меры безопасности могут отразить неоднократные попытки несанкционированного доступа, злоумышленники могут использовать всевозможные методы для взлома шифрования на своих условиях. Злоумышленники могут работать над расшифровкой данных хранилища клиентов в автономном режиме, где не будет следов ведущих к ним, и клиенты не получат никаких уведомлений о несанкционированном доступе, если злоумышленникам удастся расшифровать украденные данные хранилища.

Клиенты LastPass должны немедленно изменить мастер-пароли для своих учетных записей, так как злоумышленники начнут проводить фишинговые атаки на клиентов LastPass, используя адреса электронной почты и номера телефонов украденные при взломе. Их цель будет состоять в том, чтобы обмануть клиентов LastPass, чтобы они отказались от своих мастер-паролей. Затем злоумышленники могут попытаться использовать любые украденные таким образом пароли, чтобы определить ключи шифрования которые защищают зашифрованные данные хранилища пользователей. Однако любые мастер-пароли украденные в результате фишинговых атак будут бесполезны для этой цели, если украденные пароли являются новыми паролями введенными после кражи данных хранилища. Злоумышленники также могут попытаться использовать пароли, украденные при других нарушениях данных. Однако до тех пор пока клиенты Last Pass используют уникальные пароли в качестве своих мастер-паролей, этот метод не будет работать.

Если злоумышленникам удастся получить мастер-пароли клиентов LastPass, они не получат немедленный доступ к зашифрованным данным клиентов. Зашифрованные данные хранилища каждого клиента защищены ключом полученным из мастер-пароля пользователя. LastPass генерирует этот ключ применяя функцию получения ключа PBKDF2 к мастер-паролю заданное количество раз. Текущий стандарт LastPass для генерации ключей составляет 100 100 итераций функции деривации, что затрудняет злоумышленникам определение ключа шифрования пользователя с помощью инструментов взлома шифрования.

Тем не менее 100 100 итераций значительно меньше 310 000 итераций рекомендованных Open Web Application Security Project (OWASP). Кроме того, даже стандарт 100 100 итераций является чем-то новым для LastPass, и некоторые старые учетные записи LastPass по-прежнему защищены ключами, сгенерированными с использованием всего 5 000 итераций функции деривации. С практической точки зрения эти старые учетные записи будет значительно легче взломать.

Взлом данных открытого зашифрованного хранилища зависит не от того может ли это произойти, а от того, когда. В лучшем случае для пользователей LastPass злоумышленникам могут потребоваться тысячи лет, чтобы взломать шифрование с помощью доступных в настоящее время инструментов взлома шифрования. Однако со временем вычислительная мощность увеличивается, а это означает, что время необходимое для расшифровки украденных данных хранилища также со временем будет уменьшаться. Хотя это может быть неприятно, пользователи LastPass должны изменить не только свои мастер-пароли, но и каждый пароль, хранящийся в их хранилищах. Злоумышленники возможно не смогут взломать шифрование данных хранилища пользователей и получить доступ к сохраненным паролям завтра, но теперь когда данные им доступны, это может произойти в любой момент в будущем, поэтому пользователи LastPass должны принять меры сейчас.