Prošlog meseca, govoreći o ovom incidentu, Tuba je samo rekao da su napadači dobili pristup “određenim elementima” informacija o korisnicima.
Tuba je sada objasnio da LastPass koristi uslugu skladištenja u oblaku za čuvanje arhiviranih rezervnih kopija podataka i da je napadač “kopirao informacije iz rezervne kopije koje su sadržale osnovne podatke o korisničkim nalozima i povezane metapodatke, uključujući imena kompanija, imena krajnjih korisnika, adrese za naplatu, e-mail adrese, telefonske brojeve i IP adrese sa kojih su korisnici pristupali usluzi LastPass”.
On je takođe rekao da je napadač “bio u mogućnosti da kopira rezervnu kopiju podataka trezora korisnika iz šifrovanog kontejnera za skladištenje koji se čuva u vlasničkom binarnom formatu koji sadrži i nešifrovane podatke, kao što su URL adrese veb sajtova, kao i potpuno šifrovane osetljive podatke kao što su korisnička imena i lozinke, bezbedne beleške i podaci iz obrazaca.”
Srećom, šifrovani podaci su zaštićeni 256-bitnom AES enkripcijom i mogu se dešifrovati samo jedinstvenim ključem za šifrovanje izvedenim iz glavne lozinke svakog korisnika.
Prema rečima direktora, LastPass nikada ne zna glavnu lozinku i ne čuva je na svojim sistemima.
Korisnici su takođe upozoreni da bi napadači mogli da pokušaju da izvedu brute force napade sa svojim lozinkama kako bi dobili pristup ukradenim šifrovanim podacima iz trezora. Međutim, ovo bi bilo veoma teško i dugotrajno ako su korisnici pratili preporuke za lozinku LastPassa.
“Bili bi potrebni milioni godina da se pogodi vaša glavna lozinka pomoću opšte dostupne tehnologije za razbijanje lozinki”, rekao je Tuba, ističući da su osetljivi podaci korisnika, uključujući korisnička imena i lozinke bezbedni zahvaljujući Zero Knowledge arhitekturi LastPassa.
Hakovanje skladišta u oblaku je drugi bezbednosni incident koji je kompanija otkrila od početka godine nakon što je u avgustu potvrdila da je njeno razvojno okruženje hakovano pomoću kompromitovanog naloga programera.
U e-mailu koji je tada poslat korisnicima, LastPass je potvrdio da su napadači ukrali vlasničke tehničke informacije i izvorni kod iz njegovih sistema, a kompanija je kasnije otkrila da je napadač koji stoji iza avgustovskog napada imao pristup njihovim sistemima četiri dana sve dok nije izbačen.
Prema podacima kompanije, LastPass softver koristi više od 33 miliona ljudi i 100.000 preduzeća iz celog sveta.
