Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые зашифрованные пароли к ним.
Для защиты паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка паролей в LastPass осуществляется только на стороне пользователя, а подбор мастер-пароля рассматривается как нереалистичный на современном оборудовании, учитывая размер мастер-пароля и применённое число итераций PBKDF2.
Для совершения атаки использовались данные, полученные атакующими в ходе прошлой атаки, произошедшей в августе и совершённой через компрометацию учётной записи одного из разработчиков сервиса. Августовский взлом привёл к попаданию в руки злоумышленников доступа к окружению для разработки, коду приложения и технической информации. Позднее выяснилось, что атакующие воспользовались данными из среды для разработки для атаки на другого разработчика, в результате которой удалось получить ключи доступа к облачному хранилищу и ключи для расшифровки данных из хранящихся там контейнеров. На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.