Sum vdora v LastPass povzročil množično menjavo gesel
Matej Huš
6. maj 2011 ob 08:45:05
Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.
LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel, tako da mora uporabnik poznati le eno glavno geslo. Vsa gesla se lokalno tudi šifrirajo in sinhronizirajo v oblak, da je do njih moč dostopiti tudi drugod.
Kateri podatki so bili domnevno odtujeni, ni znano. Analiza izhodnega prometa je pokazala, da je bil ta zadosti velik, da bi lahko šlo za elektronske naslove uporabnikov, sol na strežniku in zgoščene vrednosti gesel iz podatkovne baze. S temi podatki je mogoče učinkoviteje izvesti napad s slovarjem na glavno geslo, zato je LastPass od vseh uporabnikov zahteval zamenjavo le-teh. Hkrati so začeli tudi dolgo načrtovano nadgradnjo sistema, saj bodo odslej uporabljali PBKDF2 s SHA-256 na strežnikih.
Kasneje se je LastPassu po lastni zaslugi primerila še ena nevšečnost. Naval ljudi, ki so zamenjevali svoja gesla, je bil tako velik, da je stran pokleknila pod obremenitvijo. Zato so uvedli nekaj ukrepov, ki odlagajo nujnost takojšnje spremembe gesel - med njimi verifikacijo elektronskega naslova z enega IP-naslova in omejitev prijave na ta IP in uporabo storitve v načinu off-line.