LastPass poinformował, że domowy komputer inżyniera DevOps został naruszony w celu kradzieży danych z przechowalni haseł podczas naruszenia danych w sierpniu 2022 r.
LastPass Utracone dane skarbca podczas naruszenia w 2022 r
Menedżer haseł LastPass ujawnił więcej informacji o naruszeniu danych w sierpniu 2022 r., stwierdzając, że komputer domowy inżyniera DevOps został zhakowany w celu kradzieży danych ze skarbca haseł.
W dniu 27 lutego 2023 r. firma LastPass opublikowała zalecenie dotyczące bezpieczeństwa dotyczące naruszenia danych w sierpniu 2022 r. LastPass poinformował już czytelników, że podczas ataku uzyskano dostęp do skarbców danych klientów kolejny atak mający miejsce w listopadzie 2022 r który był powiązany z pierwszym. Od pierwszego trafienia rzekomo skradziono również 53 000 USD w Bitcoinach, z czego złożono pozew zbiorowy.
w Porada bezpieczeństwa LastPass, napisano, że podczas ataku z sierpnia 2022 roku złośliwy operator był w stanie „wykorzystać ważne dane uwierzytelniające skradzione starszemu inżynierowi DevOps w celu uzyskania dostępu do współdzielone środowisko przechowywania w chmurze, które początkowo utrudniało badaczom rozróżnienie między działaniami cyberprzestępców a ciągłą legalną działalnością”.
Inżynier DevOps miał dostęp do kluczy deszyfrujących, co czyniło je głównym celem atakującego. Klucze te umożliwiły dostęp do usług przechowywania w chmurze LastPass, które zawierają dane klientów LastPass i zaszyfrowane dane skarbca. Tylko czterech inżynierów LastPass DevOps miało dostęp do tych kluczy, a tylko jeden został pomyślnie zaatakowany.
LastPass stwierdził również, że „aktor cyberprzestępczy przeszedł od pierwszego incydentu, który zakończył się 12 sierpnia 2022 r., ale był aktywnie zaangażowany w nowej serii działań związanych z rekonesansem, wyliczaniem i eksfiltracją dostosowanych do środowiska pamięci masowej w chmurze, obejmującego 12 sierpnia 2022 r. do 26 października 2022 r.” Dopiero gdy AWS GuardDuty Alerts powiadomiło LastPass o nietypowej aktywności, problem został rozwiązany podświetlony.
Pakiet oprogramowania został wykorzystany do zhakowania atakowanego komputera
Aby zhakować komputer domowy inżyniera DevOps, atakujący wykorzystał podatny na ataki pakiet multimedialny oprogramowania innej firmy. Dzięki temu exploitowi atakujący mógł umożliwić i przeprowadzić zdalne wykonanie kodu, co doprowadziło do instalacji szkodliwego oprogramowania keyloggera. Ten keylogger został następnie wykorzystany do kradzieży hasła głównego pracownika i uzyskania dostępu do korporacyjnego skarbca LastPass.
Po uzyskaniu dostępu do skarbca złośliwy aktor wyeksportował zarówno wpisy skarbca, jak i zawartość folderu udostępnionego. W ramach eksportowanych danych znajdowały się zaszyfrowane bezpieczne notatki, jak również Klucze deszyfrujące LastPass. Te klucze były potrzebne do „dostępu do produkcyjnych kopii zapasowych AWS S3 LastPass, innych zasobów pamięci masowej w chmurze i niektórych powiązanych krytycznych kopii zapasowych baz danych”.
Użytkownicy LastPass kwestionują jego integralność
Podczas gdy niektórzy użytkownicy doceniają przejrzystość LastPass w odniesieniu do tego incydentu, wielu jest rozgniewanych ciągłymi problemami bezpieczeństwa, z jakimi boryka się firma. Przerażeni użytkownicy zabrali się do Twittera, aby dać upust swoim uczuciom na temat integralności bezpieczeństwa LastPass. Jak widać poniżej, jedna osoba skrytykowała decyzję LastPass o przyznaniu niektórym pracownikom dostępu do odszyfrowanego magazynu haseł.
Reputacja LastPass wydaje się skażona wśród tych ataków
Po napotkaniu wielu problemów z bezpieczeństwem w ostatnich latach, ludzie kwestionują teraz, czy LastPass jest uzasadnioną opcją przechowywania haseł. Ponieważ niektórzy użytkownicy już opuszczają LastPass, nie wiadomo, jak ten menedżer haseł przetrwa tę burzę.
