LastPass ir ziņojis, ka DevOps inženiera mājas dators tika apdraudēts, lai nozagtu paroles glabātuves datus 2022. gada augusta datu pārkāpuma laikā.
LastPass pazaudēja Vault datus 2022. gada pārkāpuma rezultātā
Paroļu pārvaldnieks LastPass ir atklājis vairāk informācijas par savu 2022. gada augusta datu pārkāpumu, norādot, ka DevOps inženiera mājas dators tika uzlauzts, lai nozagtu paroles glabātuves datus.
2023. gada 27. februārī LastPass izdeva drošības ieteikumu par datu pārkāpumu, kas tika piedzīvots 2022. gada augustā. LastPass jau informēja lasītājus, ka uzbrukumā tika piekļūts klientu datu glabātuvēm, ar vēl viens uzbrukums notika 2022. gada novembrī kas bija saistīts ar pirmo. Sākotnējā trāpījuma laikā, iespējams, tika nozagti arī 53 000 USD Bitcoin, no kura tika iesniegta kolektīva prasība.
Iekš LastPass drošības ieteikums, tika rakstīts, ka 2022. gada augusta uzbrukuma laikā ļaunprātīgais operators varēja "izmantot derīgus akreditācijas datus, kas nozagti vecākajam DevOps inženierim, lai piekļūtu dalīta mākoņa krātuves vide, kas sākotnēji apgrūtināja izmeklētāju atšķiršanu starp apdraudējuma dalībnieku darbību un notiekošo likumīgo darbību.
DevOps inženierim bija piekļuve atšifrēšanas atslēgām, kas padarīja tās par galveno uzbrucēja mērķi. Šīs atslēgas ļāva piekļūt LastPass mākoņkrātuves pakalpojumiem, kas satur LastPass klientu datus un šifrētus glabātuves datus. Tikai četriem LastPass DevOps inženieriem bija piekļuve šīm atslēgām, un tikai viena tika veiksmīgi atlasīta.
LastPass arī norādīja, ka "draudu aktieris mainījās no pirmā incidenta, kas beidzās 2022. gada 12. augustā, bet bija aktīvi iesaistīts jaunā izlūkošanas, uzskaitīšanas un eksfiltrācijas darbību sērijā, kas ir saskaņota ar mākoņu krātuves vidi, kas aptver no plkst. No 2022. gada 12. augusta līdz 2022. gada 26. oktobrim." Problēma tika atklāta tikai tad, kad AWS GuardDuty Alerts paziņoja LastPass par neparastu darbību. izcelts.
Programmatūras pakotne tika izmantota, lai apdraudētu mērķa datoru
Lai uzlauztu DevOps inženiera mājas datoru, uzbrucējs izmantoja ievainojamu trešās puses programmatūras multivides pakotni. Izmantojot šo izmantošanu, uzbrucējs varēja iespējot un veikt attālu koda izpildi, kā rezultātā tika instalēta Keylogger ļaunprātīga programmatūra. Pēc tam šis taustiņu bloķētājs tika izmantots, lai nozagtu darbinieka galveno paroli un piekļūtu LastPass korporatīvajai glabātuvei.
Pēc piekļuves glabātuvei ļaunprātīgais dalībnieks eksportēja gan glabātuves ierakstus, gan koplietotās mapes saturu. Eksportēto datu ietvaros tika šifrētas drošas piezīmes, kā arī LastPass atšifrēšanas atslēgas. Šīs atslēgas bija nepieciešamas, lai "piekļūtu AWS S3 LastPass ražošanas dublējumkopijām, citiem mākoņa krātuves resursiem un dažiem saistītiem kritiskiem datu bāzes dublējumkopijām".
LastPass lietotāji apšauba tā integritāti
Lai gan daži lietotāji novērtē LastPass caurspīdīgumu saistībā ar šo incidentu, daudzus sadusmo nepārtrauktās drošības problēmas, ar kurām cieš uzņēmums. Neapmierinātie lietotāji ir izmantojuši Twitter, lai izteiktu savas jūtas par LastPass drošības integritāti. Kā redzams zemāk, viena persona kritizēja LastPass lēmumu piešķirt dažiem darbiniekiem piekļuvi atšifrētai paroles glabātuvei.
Šo uzbrukumu laikā LastPass reputācija šķiet sabojāta
Pēc tam, kad pēdējos gados ir radušās daudzas drošības problēmas, cilvēki tagad apšauba, vai LastPass ir likumīga paroles glabāšanas iespēja. Tā kā daži lietotāji jau atstāj LastPass aiz sevis, nevar zināt, kā šis paroļu pārvaldnieks izturēs šo vētru.
