Getty Images
LastPass, אחד ממנהלי הסיסמאות המובילים, אמר שהאקרים השיגו שפע של מידע אישי השייך ללקוחותיה וכן סיסמאות מוצפנות ומגובבות קריפטוגרפית ונתונים אחרים המאוחסנים בכספות לקוחות.
המהפכה, פורסם ביום חמישי, מייצג עדכון דרמטי לפריצת LastPass נחשף באוגוסט. באותה עת, החברה אמרה ששחקן איום השיג גישה בלתי מורשית דרך חשבון מפתח אחד שנפרץ לחלקים סביבת הפיתוח של מנהל הסיסמאות ו"לקחה חלקים מקוד המקור וכמה מידע טכני קנייני של LastPass." החברה אמר בזמנו שסיסמאות האב, סיסמאות מוצפנות, מידע אישי ונתונים אחרים המאוחסנים בחשבונות לקוחות לא היו מושפע.
נתונים רגישים, גם מוצפנים וגם לא, הועתקו
בעדכון של יום חמישי, החברה אמרה שהאקרים ניגשו למידע אישי ומטא נתונים קשורים, כולל שמות חברות, שמות משתמשי קצה, כתובות חיוב, כתובות דואר אלקטרוני, מספרי טלפון וכתובות IP שהלקוחות השתמשו בהם כדי לגשת ל-LastPass שירותים. ההאקרים גם העתיקו גיבוי של נתוני כספת לקוחות שכלל נתונים לא מוצפנים כמו אתר אינטרנט כתובות אתרים ושדות נתונים מוצפנים כגון שמות משתמש וסיסמאות של אתרים, הערות מאובטחות ומלאי טופס נתונים.
"שדות מוצפנים אלה נשארים מאובטחים בהצפנת AES של 256 סיביות וניתן לפענח אותם רק באמצעות מפתח הצפנה ייחודי הנגזר מהמאסטר של כל משתמש סיסמה באמצעות ארכיטקטורת Zero Knowledge שלנו", כתב מנכ"ל LastPass, קארים טובבה, בהתייחסו לתכנית ההצפנה המתקדמת ולקצב סיביות שנחשב חָזָק. אפס ידע מתייחס למערכות אחסון שספק השירות אינו יכול לפענח. המנכ"ל המשיך:
כזכור, סיסמת האב לעולם אינה ידועה ל-LastPass ואינה נשמרת או מתוחזקת על-ידי LastPass. ההצפנה והפענוח של הנתונים מתבצעים רק בלקוח LastPass המקומי. למידע נוסף על ארכיטקטורת ה- Zero Knowledge ואלגוריתמי ההצפנה שלנו, ראה כאן.
העדכון אמר כי בחקירת החברה עד כה, אין שום אינדיקציה לכך שניגשה לנתוני כרטיסי אשראי לא מוצפנים. LastPass אינה מאחסנת את נתוני כרטיסי האשראי בשלמותם, ונתוני כרטיסי האשראי שהיא מאחסנת נשמרים בסביבת אחסון בענן שונה מזו ששחקן האיום ניגש אליו.
לקריאה נוספת
מספר החברות שנקלעו לפריצות האחרונות ממשיך לגדולהעדכון של יום חמישי אמר ששחקן האיום יכול להשתמש בקוד המקור ובמידע הטכני שנגנב מ-LastPass כדי לפרוץ מכשיר נפרד עובד LastPass והשגת אישורי אבטחה ומפתחות לגישה ולפענוח נפחי אחסון בתוך האחסון מבוסס הענן של החברה שֵׁרוּת.
"עד היום, קבענו שברגע שהושגו מפתח הגישה לאחסון בענן ומפתחות הפענוח של מיכל האחסון הכפול, שחקן האיום העתיק מידע מגיבוי שהכיל מידע בסיסי על חשבון לקוח ומטא נתונים קשורים, כולל שמות חברות, שמות משתמשי קצה, כתובות חיוב, כתובות דוא"ל, מספרי טלפון וכתובות ה-IP שמהן ניגשו הלקוחות לשירות LastPass," Toubba אמר. "שחקן האיום הצליח גם להעתיק גיבוי של נתוני כספת לקוחות ממיכל האחסון המוצפן, המאוחסן בפורמט בינארי קנייני מכיל נתונים לא מוצפנים, כגון כתובות אתרים, כמו גם שדות רגישים מוצפנים במלואם, כגון שמות משתמש וסיסמאות של אתרים, הערות מאובטחות ומילוי טופס נתונים."
נציגי LastPass לא הגיבו למייל ששאל כמה לקוחות הועתקו הנתונים שלהם.
חיזוק האבטחה שלך עכשיו
העדכון של יום חמישי פירט גם כמה תרופות ש-LastPass נקטה כדי לחזק את האבטחה שלה בעקבות ההפרה. השלבים כוללים את השבתת הפיתוח הפרוץ ובנייתו מחדש מאפס, שמירה על קובץ מנוהל שירות זיהוי ותגובה של נקודות קצה, וסיבוב כל האישורים והתעודות הרלוונטיים שאולי היו מושפע.
בהתחשב ברגישות הנתונים המאוחסנים על ידי LastPass, זה מדאיג שהושג רוחב כה רחב של נתונים אישיים. מדאיגה היא גם העובדה שכספות משתמשים נמצאות כעת בידיו של שחקן האיום. אמנם פיצוח הגיבובים של הסיסמה ידרוש כמויות אדירות של משאבים, אבל זה לא בא בחשבון, במיוחד בהתחשב בכמה שיטתי ובעל תושייה היה שחקן האיום.
לקוחות LastPass צריכים לוודא שהם שינו את סיסמת האב ואת כל הסיסמאות המאוחסנות בכספת שלהם. הם צריכים גם לוודא שהם משתמשים בהגדרות החורגות מברירת המחדל של LastPass. הגדרות אלה גיבוב סיסמאות מאוחסנות באמצעות 100,100 איטרציות של פונקציית גזירת מפתח מבוסס סיסמה (PBKDF2), ערכת גיבוב שיכולה להפוך את זה לבלתי אפשרי לפצח סיסמאות מאסטר שהן ארוכות, ייחודיות ובאופן אקראי נוצר. 100,100 האיטרציות חסרות למרבה הצער מסף 310,000 האיטרציות ש-OWASP ממליצה עבור PBKDF2 בשילוב עם אלגוריתם הגיבוב SHA256 בשימוש על ידי LastPass. לקוחות LastPass יכולים לבדוק את המספר הנוכחי של איטרציות PBKDF2 עבור החשבונות שלהם כאן.
בין אם הם משתמשי LastPass או לא, כולם צריכים גם ליצור חשבון ב האם התעלפתי? כדי להבטיח שהם ילמדו על כל הפרות המשפיעות עליהם בהקדם האפשרי.
לקוחות LastPass צריכים גם להיות ערניים במיוחד עבור הודעות דיוג ושיחות טלפון שלכאורה LastPass או שירותים אחרים המחפשים נתונים רגישים והונאות אחרות המנצלות את האישיות שלהם בסיכון נתונים. לחברה יש גם ייעוץ ספציפי ללקוחות עסקיים שהטמיעו את שירותי ההתחברות הפדרליים של LastPass.
