LastPass December 2022: The Full Breach
دسمبر 2022 میں, LastPass CEO نے admission دیا:
Hackers LastPass کے infrastructure میں تھے۔
6 ماہ تک۔
اور ہو سکتا ہے:
- Encrypted password vault download کریں
- Customer personal information
- بہت سے private keys
اصل Story
Phase 1: Breach (August 2022)
Hackers ایک developer کے home network سے LastPass infrastructure میں داخل ہوئے۔
یہ کیسے؟
Developer اپنے personal laptop پر work کر رہا تھا۔ VPN بغیر۔ Antivirus expired۔
Hackers malware install کیے۔
When developer LastPass resources تک access کیا (API کے لیے), hackers نے credentials چوری کیے۔
Phase 2: Reconnaissance (August–October)
Hackers نے quietly explore کیے:
- Architecture کو دیکھا
- Backup systems کو دیکھا
- Encryption keys کو trace کیے
آپ کیسے پتہ چل سکتا ہے؟ Audit logs۔ لیکن LastPass کے logs encrypted تھے, اور hackers decrypt کر سکتے تھے۔
Phase 3: Exfiltration (November 2022)
Hackers نے 4.4 million customer encrypted password vaults download کیے۔
اگرچہ vaults "encrypted" تھے, vault keys encrypted tھے master password سے derived کیے ہوئے۔
جب hackers کو decryption hint ملی (partial salt), وہ brute-force کر سکتے تھے۔
نتیجہ: 4.4M master passwords cracked۔
آپ کے Code اور Keys کا کیا ہوا؟
منہاج vault میں:
- SSH keys
- API tokens
- Private encryption keys
- Database credentials
Samsung engineers کی طرح, بہت سے developers اپنی vault میں source code comments store کرتے ہیں:
Vault entry: "AWS secret"
Data: "AKIA4X9J2N5K7L2P..."
Vault entry: "GitHub SSH key"
Data: "-----BEGIN RSA PRIVATE KEY-----\nMIIEpAIBAAKCAQEA..."
Vault entry: "Stripe API"
Data: "sk_live_4eC39HqLyjWDarhtT..."
جب vault breach ہوتا ہے, تمام کچھ leak ہوتا ہے۔
LastPass breach میں, hacker forums میں یہ سب خریدا جا رہا تھا۔
LastPass: "سب محفوظ ہے" دعویہ غلط نکلا
LastPass CEO نے کہا:
یہاں تک کہ اگر vaults breach ہوں، master password نہیں ہے, تو encryption ہے secure۔
یہ technically false نکلا۔
کیوں؟
زیادہ tर vault vaults میں key derivation استعمال ہوتا ہے:
masterPassword + salt → derivedKey (PBKDF2)
encryptedVault = encrypt(vaultData, derivedKey)
جب vaults leak ہوتے ہیں, salt بھی leak ہوتا ہے۔
Attacker کے پاس:
- Encrypted vault
- Salt
- Hint (نوعیت of data)
Brute-force:
for password in dictionary:
derivedKey = PBKDF2(password + salt)
plaintext = decrypt(encryptedVault, derivedKey)
if plaintext is valid:
FOUND!
2022 میں GPUs سے, یہ تیز ہے۔
LastPass سے Enterprises کو سبق
1. "SaaS password manager نہیں" rule
جب آپ کے پاس SSH keys, API tokens, database passwords ہیں, انہیں:
- Local vault میں رکھیں (encrypted)
- Offline backup میں (hardware key)
- کبھی بھی SaaS password manager میں نہیں
2. "ہمیں یہ trust ہے" (حتی Protonmail, 1Password)
حتی اچھے vendors بھی vulnerable ہو سکتے ہیں۔
Latest approach:
- Vendor سے استقلال
- Internal vault (HashiCorp Vault, etc.)
- Rotate سب ہر 90 دن
- کوئی بھی SaaS میں permanent credentials نہیں
3. Encryption != Security
LastPass encrypted تھا۔
لیکن breach ہوا۔
Encryption ہے defensive layer, نہ کہ sole protection۔
Devops engineers کو:
- Network segmentation
- Multi-factor auth
- Immutable audit logs
- Rotate credentials frequently
سب ضروری ہے۔
4. Enterprise Shift: Internal Encryption
انٹرپرائز جو LastPass breach سے سیکھے, انہوں نے:
- اپنا vault بنایا (HashiCorp, AWS Secrets Manager)
- Encryption keys internal رکھے
- Vendors سے minimize credentials
- API tokens rotate ہفتہ میں
یہ طریقہ زیادہ محفوظ ہے۔