LastPass a raportat că computerul de acasă al unui inginer DevOps a fost compromis pentru a fura datele seifului de parole în timpul breșei de date din august 2022.
Date pierdute ale seifului LastPass în încălcarea din 2022
Managerul de parole LastPass a dezvăluit mai multe informații despre încălcarea datelor din august 2022, declarând că computerul de acasă al unui inginer DevOps a fost spart pentru a fura datele seifului de parole.
La 27 februarie 2023, LastPass a lansat un aviz de securitate cu privire la încălcarea datelor suferită în august 2022. LastPass a informat deja cititorii că seifurile de date ale clienților au fost accesate în atac, cu un alt atac care a avut loc în noiembrie 2022 care era legat de primul. De la lovitura inițială, s-ar fi furat și 53.000 USD în Bitcoin, din care a fost intentat un proces colectiv.
În Aviz de securitate LastPass, s-a scris că, în timpul atacului din august 2022, operatorul rău intenționat a putut „să profite de acreditările valide furate de la un inginer senior DevOps pentru a accesa un mediu de stocare în cloud partajat, ceea ce a făcut inițial dificil pentru investigatori să facă diferența între activitatea actorilor de amenințări și activitatea legitimă în desfășurare.”
Inginerul DevOps a avut acces la cheile de decriptare, ceea ce le-a făcut o țintă principală pentru atacator. Aceste chei au permis accesul la serviciile de stocare în cloud ale LastPass, care conțin datele clienților LastPass și date criptate ale seifului. Doar patru ingineri LastPass DevOps au avut acces la aceste chei, doar unul fiind vizat cu succes.
LastPass a mai declarat că „actorul amenințării a evoluat de la primul incident, care s-a încheiat pe 12 august 2022, dar a fost implicat activ într-o nouă serie de activități de recunoaștere, enumerare și exfiltrare aliniate la mediul de stocare în cloud, de la 12 august 2022 până la 26 octombrie 2022.” Nu a fost până când AWS GuardDuty Alerts a notificat LastPass despre o activitate neobișnuită că problema a fost evidențiat.
Un pachet software a fost exploatat pentru a compromite computerul vizat
Pentru a sparge computerul de acasă al inginerului DevOps, atacatorul a exploatat un pachet software vulnerabil al unei terțe părți. Prin acest exploit, atacatorul ar putea activa și conduce execuția de cod de la distanță, ceea ce a dus la instalarea programelor malware keylogger. Acest keylogger a fost apoi folosit pentru a fura parola principală a angajatului și pentru a accesa seiful corporativ LastPass.
După accesarea seifului, actorul rău intenționat a exportat atât intrările din seif, cât și conținutul folderului partajat. În cadrul datelor exportate au fost criptate note securizate, precum și Chei de decriptare LastPass. Aceste chei au fost necesare pentru a „accesa backup-urile de producție AWS S3 LastPass, alte resurse de stocare bazate pe cloud și unele backup-uri esențiale ale bazei de date”.
LastPass îi pune pe utilizatori să pună la îndoială integritatea sa
În timp ce unii utilizatori apreciază transparența LastPass cu privire la acest incident, mulți sunt supărați de problemele continue de securitate suferite de companie. Utilizatorii consternați au apelat la Twitter pentru a-și exprima sentimentele despre integritatea securității LastPass. După cum se vede mai jos, o persoană a criticat decizia LastPass de a acorda anumitor angajați acces la un seif de parole decriptat.
Reputația LastPass pare contaminată în mijlocul acestor atacuri
După ce s-au confruntat cu numeroase probleme de securitate în ultimii ani, oamenii se întreabă acum dacă LastPass este o opțiune legitimă pentru stocarea parolelor. Având în vedere că unii utilizatori au lăsat deja LastPass în urmă, nu se știe cum va rezista acest manager de parole acestei furtuni.
