LastPass je izvijestio da je kućno računalo inženjera DevOps-a bilo kompromitirano kako bi ukrao podatke iz trezora zaporki tijekom povrede podataka u kolovozu 2022.
LastPass je izgubio podatke iz trezora u provali 2022
Upravitelj lozinki LastPass otkrio je više informacija o svojoj povredi podataka u kolovozu 2022., navodeći da je kućno računalo DevOps inženjera bilo hakirano kako bi se ukrali podaci iz trezora lozinki.
LastPass je 27. veljače 2023. objavio sigurnosno savjetovanje u vezi s povredom podataka do koje je došlo u kolovozu 2022. LastPass je već obavijestio čitatelje da je u napadu pristupljeno trezorima podataka kupaca, s još jedan napad dogodio se u studenom 2022 koji je bio povezan s prvim. Od početnog udarca, navodno je također ukradeno 53.000 dolara u Bitcoinu, zbog čega je pokrenuta kolektivna tužba.
u LastPass sigurnosno savjetovanje, napisano je da je tijekom napada u kolovozu 2022. zlonamjerni operater uspio "iskoristiti valjane vjerodajnice ukradene od višeg DevOps inženjera za pristup dijeljeno okruženje za pohranu u oblaku, što je u početku otežavalo istražiteljima da razlikuju aktivnost aktera prijetnje od tekuće legitimne aktivnosti."
DevOps inženjer imao je pristup ključevima za dešifriranje, što ih je učinilo glavnom metom za napadače. Ovi ključevi omogućili su pristup LastPassovim uslugama pohrane u oblaku, koje sadrže LastPass podatke o korisnicima i šifrirane podatke trezora. Samo četiri LastPass DevOps inženjera imala su pristup ovim ključevima, a samo je jedan uspješno ciljan.
LastPass je također naveo da je "akter prijetnje krenuo od prvog incidenta, koji je završio 12. kolovoza 2022., ali je bio aktivno uključen u novom nizu aktivnosti izviđanja, popisivanja i eksfiltracije usklađenih s okruženjem pohrane u oblaku koje se proteže od 12. kolovoza 2022. do 26. listopada 2022." Tek kada je AWS GuardDuty Alerts obavijestio LastPass o neobičnoj aktivnosti, problem je bio istaknuto.
Softverski paket je iskorišten za kompromitiranje ciljanog računala
Kako bi hakirao kućno računalo DevOps inženjera, napadač je iskoristio ranjivi medijski paket softvera treće strane. Kroz ovaj exploit, napadač je mogao omogućiti i provesti daljinsko izvršavanje koda, što je dovelo do instalacije zlonamjernog softvera keyloggera. Ovaj keylogger je zatim korišten za krađu glavne lozinke zaposlenika i pristup LastPass korporativnom trezoru.
Nakon pristupa trezoru, zlonamjerni je akter izvezao i unose trezora i sadržaj dijeljene mape. Unutar izvezenih podataka bile su šifrirane sigurne bilješke, kao i LastPass ključevi za dešifriranje. Ovi su ključevi bili potrebni za "pristup produkcijskim sigurnosnim kopijama AWS S3 LastPass, drugim resursima za pohranu u oblaku i nekim povezanim kritičnim sigurnosnim kopijama baze podataka."
LastPass navodi korisnike koji sumnjaju u njegov integritet
Dok neki korisnici cijene transparentnost LastPass-a u vezi s ovim incidentom, mnogi su ljuti zbog stalnih sigurnosnih problema s kojima tvrtka trpi. Užasnuti korisnici su na Twitteru izrazili svoje osjećaje o sigurnosnom integritetu LastPassa. Kao što se vidi u nastavku, jedan je pojedinac kritizirao odluku LastPassa da određenim zaposlenicima odobri pristup dekriptiranom trezoru zaporki.
Čini se da je LastPassova reputacija narušena ovim napadima
Nakon što su posljednjih godina naišli na brojne sigurnosne probleme, ljudi se sada pitaju je li LastPass legitimna opcija za pohranjivanje lozinki. Budući da su neki korisnici već napustili LastPass, ne znamo kako će ovaj upravitelj lozinki prebroditi ovu oluju.
