A LastPass arról számolt be, hogy egy DevOps mérnök otthoni számítógépét feltörték, hogy ellopják a jelszótároló adatait a 2022. augusztusi adatszivárgás során.
A LastPass elvesztette Vault adatait a 2022-es jogsértés során
A LastPass jelszókezelő további információkat közölt a 2022. augusztusi adatszivárgással kapcsolatban, mondván, hogy egy DevOps mérnök otthoni számítógépét feltörték, hogy ellopják a jelszótároló adatait.
2023. február 27-én a LastPass biztonsági figyelmeztetést adott ki a 2022 augusztusában elszenvedett adatsértéssel kapcsolatban. A LastPass már tájékoztatta az olvasókat, hogy a támadás során hozzáfértek az ügyféladat-tárolókhoz egy újabb támadásra 2022 novemberében kerül sor ami az elsőhöz volt kapcsolva. A kezdeti találatból állítólag 53 000 dollár Bitcoint is elloptak, amelyből csoportos pert indítottak.
Ban,-ben LastPass biztonsági figyelmeztetés
, azt írták, hogy a 2022. augusztusi támadás során a rosszindulatú operátor képes volt „egy vezető DevOps mérnöktől ellopott érvényes hitelesítő adatokkal hozzáférni egy megosztott felhőalapú tárolókörnyezet, amely kezdetben megnehezítette a nyomozók számára, hogy különbséget tudjanak tenni a fenyegetett szereplők és a folyamatban lévő jogszerű tevékenységek között."A DevOps mérnök hozzáfért a visszafejtési kulcsokhoz, ami a támadó elsődleges célpontjává tette őket. Ezek a kulcsok hozzáférést tettek lehetővé a LastPass felhőalapú tárolási szolgáltatásaihoz, amelyek LastPass ügyféladatokat és titkosított tárolóadatokat tartalmaznak. Csak négy LastPass DevOps mérnök férhetett hozzá ezekhez a kulcsokhoz, és csak egyet sikerült megcélozni.
A LastPass azt is kijelentette, hogy "a fenyegetés szereplője az első incidenstől indult, amely 2022. augusztus 12-én ért véget, de aktívan részt vett a felhőalapú tárolási környezethez igazodó felderítési, számlálási és kiszűrési tevékenységek új sorozatában, amely 2022. augusztus 12. és 2022. október 26. között.” A probléma csak akkor derült ki, amikor az AWS GuardDuty Alerts értesítette a LastPasst szokatlan tevékenységről. kiemelt.
Egy szoftvercsomagot használtak ki a megcélzott számítógép veszélyeztetésére
A DevOps mérnök otthoni számítógépének feltöréséhez a támadó egy sebezhető, harmadik féltől származó szoftveres médiacsomagot használt ki. Ezzel a kihasználással a támadó engedélyezheti és végrehajthatta a távoli kódfuttatást, ami a keylogger rosszindulatú program telepítéséhez vezetett. Ezt a keyloggert azután az alkalmazott fő jelszavának ellopására és a LastPass vállalati trezor elérésére használták.
A tároló elérése után a rosszindulatú szereplő exportálta a tároló bejegyzéseit és a megosztott mappa tartalmát. Az exportált adatokon belül titkosított biztonsági jegyzetek, valamint LastPass visszafejtő kulcsok. Ezekre a kulcsokra volt szükség az AWS S3 LastPass éles biztonsági mentéseihez, más felhőalapú tárolási erőforrásokhoz és néhány kapcsolódó kritikus adatbázis-biztonsági mentéshez.
A LastPass felhasználói megkérdőjelezik annak integritását
Míg egyes felhasználók értékelik a LastPass átláthatóságát az incidenssel kapcsolatban, sokakat feldühít a vállalat folyamatos biztonsági problémái. A megdöbbent felhasználók a Twitteren fejezték ki érzéseiket a LastPass biztonsági integritásával kapcsolatban. Amint az alábbiakban látható, egy személy bírálta a LastPass azon döntését, hogy bizonyos alkalmazottaknak hozzáférést biztosított egy dekódolt jelszótárolóhoz.
A LastPass hírneve e támadások közepette romlottnak tűnik
Miután az elmúlt években számos biztonsági problémába ütköztek, az emberek most megkérdőjelezik, hogy a LastPass legitim lehetőség-e a jelszavak tárolására. Mivel néhány felhasználó már hátrahagyta a LastPasst, nem tudni, hogy ez a jelszókezelő hogyan fogja átvészelni ezt a vihart.