LastPass съобщи, че домашният компютър на инженер на DevOps е бил компрометиран, за да открадне данни от хранилището за пароли по време на пробива на данни през август 2022 г.
LastPass загуби данни от трезора при пробива през 2022 г
Мениджърът на пароли LastPass разкри повече информация за своето нарушение на данните от август 2022 г., заявявайки, че домашният компютър на инженер на DevOps е бил хакнат, за да открадне данни от хранилището за пароли.
На 27 февруари 2023 г. LastPass пусна съвет за сигурността относно нарушението на данните, претърпяно през август 2022 г. LastPass вече информира читателите, че при атаката са били достъпни хранилища с данни на клиенти, с друга атака през ноември 2022 г който беше свързан с първия. От първоначалния удар също се твърди, че са били откраднати 53 000 долара в биткойн, за което е заведен колективен иск.
В Съвети за сигурност на LastPass, беше написано, че по време на атаката от август 2022 г. злонамереният оператор е успял да „използва валидни идентификационни данни, откраднати от старши DevOps инженер, за достъп до споделена облачна среда за съхранение, което първоначално затрудни следователите да разграничат дейността на заплахата и продължаващата законна дейност."
Инженерът на DevOps имаше достъп до ключове за декриптиране, което ги направи основна цел за нападателя. Тези ключове позволиха достъп до облачните услуги за съхранение на LastPass, които съдържат клиентски данни на LastPass и криптирани данни от трезора. Само четирима инженери на LastPass DevOps имаха достъп до тези ключове, като само един беше успешно насочен.
LastPass също така заяви, че „актьорът на заплахата се завъртя от първия инцидент, който приключи на 12 август 2022 г., но беше активно ангажиран в нова поредица от дейности за разузнаване, изброяване и ексфилтриране, съобразени със средата за съхранение в облак, обхващаща от 12 август 2022 г. до 26 октомври 2022 г." Едва когато AWS GuardDuty Alerts уведоми LastPass за необичайна дейност, проблемът беше подчертано.
Софтуерен пакет е бил използван за компрометиране на целевия компютър
За да хакне домашния компютър на инженера на DevOps, нападателят използва уязвим софтуерен медиен пакет на трета страна. Чрез този експлойт атакуващият може да активира и проведе отдалечено изпълнение на код, което доведе до инсталирането на зловреден софтуер за кийлогър. След това този кийлогър беше използван за кражба на главната парола на служителя и достъп до корпоративния трезор на LastPass.
След достъп до хранилището, злонамереният актьор експортира както записите в хранилището, така и съдържанието на споделената папка. В рамките на експортираните данни имаше криптирани защитени бележки, както и LastPass ключове за дешифриране. Тези ключове бяха необходими за „достъп до производствените архиви на AWS S3 LastPass, други ресурси за съхранение, базирани на облак, и някои свързани критични резервни копия на бази данни“.
LastPass кара потребителите да се съмняват в целостта му
Въпреки че някои потребители оценяват прозрачността на LastPass по отношение на този инцидент, много от тях са ядосани от продължаващите проблеми със сигурността, които компанията изпитва. Ужасените потребители се обърнаха към Twitter, за да изразят чувствата си относно целостта на сигурността на LastPass. Както се вижда по-долу, един човек критикува решението на LastPass да предостави на определени служители достъп до хранилище с дешифрирани пароли.
Репутацията на LastPass изглежда опетнена от тези атаки
След като се натъкнаха на множество проблеми със сигурността през последните години, хората сега се питат дали LastPass е легитимна опция за съхранение на пароли. Тъй като някои потребители вече напускат LastPass, не се знае как този мениджър на пароли ще устои на тази буря.
