LastPass oznámil, že domáci počítač inžiniera DevOps bol napadnutý, aby ukradol údaje trezora hesiel počas porušenia údajov v auguste 2022.
LastPass Lost Vault Data in the 2022 Breach
Správca hesiel LastPass odhalil ďalšie informácie o svojom porušení údajov z augusta 2022 a uviedol, že domáci počítač inžiniera DevOps bol napadnutý hackermi, aby ukradol údaje z trezoru hesiel.
Dňa 27. februára 2023 vydala spoločnosť LastPass bezpečnostné upozornenie týkajúce sa narušenia údajov, ku ktorému došlo v auguste 2022. LastPass už informoval čitateľov o tom, že pri útoku sa pristupovalo k trezorom s údajmi o zákazníkoch, s k ďalšiemu útoku došlo v novembri 2022 ktorý bol spojený s prvým. Z počiatočného zásahu bolo údajne ukradnutých aj 53 000 $ v Bitcoine, z čoho bola podaná hromadná žaloba.
V Bezpečnostné poradenstvo LastPass, bolo napísané, že počas útoku v auguste 2022 dokázal škodlivý operátor „využiť platné poverenia ukradnuté vyššiemu inžinierovi DevOps na prístup k zdieľané prostredie cloudového úložiska, čo spočiatku sťažovalo vyšetrovateľom rozlíšenie medzi aktivitou aktéra hrozby a prebiehajúcou legitímnou aktivitou.“
Inžinier DevOps mal prístup k dešifrovacím kľúčom, čo z nich urobilo hlavný cieľ útočníka. Tieto kľúče umožňovali prístup k službám cloudového úložiska LastPass, ktoré obsahujú zákaznícke dáta LastPass a šifrované dáta trezorov. K týmto kľúčom mali prístup iba štyria inžinieri LastPass DevOps, pričom iba jeden bol úspešne zameraný.
LastPass tiež uviedol, že „aktér hrozby sa odklonil od prvého incidentu, ktorý sa skončil 12. augusta 2022, ale aktívne sa angažoval v novej sérii prieskumných, enumeračných a exfiltračných aktivít zosúladených s prostredím cloudového úložiska od Od 12. augusta 2022 do 26. októbra 2022." Až keď AWS GuardDuty Alerts upozornil LastPass na nezvyčajnú aktivitu, problém bol zvýraznené.
Softvérový balík bol využitý na kompromitáciu cieľového počítača
Aby útočník mohol hacknúť domáci počítač inžiniera DevOps, zneužil zraniteľný balík softvérových médií tretej strany. Prostredníctvom tohto exploitu mohol útočník povoliť a vykonávať vzdialené spustenie kódu, čo viedlo k inštalácii malvéru keylogger. Tento keylogger bol potom použitý na odcudzenie hlavného hesla zamestnanca a prístup k firemnému trezoru LastPass.
Po prístupe do trezoru vyexportoval škodlivý činiteľ položky trezoru aj obsah zdieľaného priečinka. V rámci exportovaných údajov boli zašifrované aj bezpečné poznámky LastPass dešifrovacie kľúče. Tieto kľúče boli potrebné na „prístup k produkčným zálohám AWS S3 LastPass, iným cloudovým úložným prostriedkom a niektorým súvisiacim kritickým zálohám databáz“.
Používatelia LastPass spochybňujú jeho integritu
Zatiaľ čo niektorí používatelia oceňujú transparentnosť LastPass v súvislosti s týmto incidentom, mnohí sú rozhnevaní pokračujúcimi bezpečnostnými problémami, ktorým spoločnosť čelí. Zhrození používatelia prešli na Twitter, aby vyjadrili svoje pocity o integrite zabezpečenia LastPass. Ako je vidieť nižšie, jeden jednotlivec kritizoval rozhodnutie LastPass poskytnúť určitým zamestnancom prístup k dešifrovanému trezoru hesiel.
Zdá sa, že reputácia LastPass je uprostred týchto útokov narušená
Po tom, čo sa v posledných rokoch stretli s mnohými bezpečnostnými problémami, ľudia si teraz kladú otázku, či je LastPass legitímnou možnosťou na ukladanie hesiel. Keďže niektorí používatelia už LastPass opúšťajú, nie je jasné, ako tento správca hesiel prežije túto búrku.