LastPass har rapportert at en DevOps-ingeniørs hjemmedatamaskin ble kompromittert for å stjele passordhvelvdata under datainnbruddet i august 2022.
LastPass mistet hvelvdata i 2022-bruddet
Passordadministrator LastPass har avslørt mer informasjon om datainnbruddet i august 2022, og sier at en DevOps-ingeniørs hjemmedatamaskin ble hacket for å stjele passordhvelvdata.
27. februar 2023 ga LastPass ut et sikkerhetsråd om datainnbruddet i august 2022. LastPass informerte allerede leserne om at kundedatahvelv ble åpnet i angrepet, med nok et angrep som fant sted i november 2022 som var knyttet til den første. Fra det første treffet ble også $53 000 i Bitcoin angivelig stjålet, og det ble anlagt et gruppesøksmål.
I LastPass sikkerhetsrådgivning, ble det skrevet at under angrepet i august 2022 var den ondsinnede operatøren i stand til å "utnytte gyldig legitimasjon stjålet fra en senior DevOps-ingeniør for å få tilgang til en delt skylagringsmiljø, som i utgangspunktet gjorde det vanskelig for etterforskere å skille mellom trusselaktøraktivitet og pågående legitim aktivitet."
DevOps-ingeniøren hadde tilgang til dekrypteringsnøkler, noe som gjorde dem til et hovedmål for angriperen. Disse nøklene ga tilgang til LastPass sine skylagringstjenester, som inneholder LastPass kundedata og krypterte hvelvdata. Bare fire LastPass DevOps-ingeniører hadde tilgang til disse nøklene, og bare én ble målrettet.
LastPass uttalte også at "trusselsaktøren dreide seg fra den første hendelsen, som endte 12. august 2022, men var aktivt engasjert i en ny serie med rekognoserings-, opptellings- og eksfiltreringsaktiviteter tilpasset skylagringsmiljøet fra 12. august 2022 til 26. oktober 2022." Det var ikke før AWS GuardDuty Alerts varslet LastPass om uvanlig aktivitet at problemet var fremhevet.
En programvarepakke ble utnyttet for å kompromittere den målrettede PC-en
For å hacke DevOps-ingeniørens hjemmedatamaskin, utnyttet angriperen en sårbar tredjeparts programvaremediepakke. Gjennom denne utnyttelsen kunne angriperen aktivere og utføre ekstern kjøring av kode, noe som førte til installasjon av keylogger-malware. Denne keyloggeren ble deretter brukt til å stjele den ansattes hovedpassord og få tilgang til LastPass-bedriftshvelvet.
Etter å ha fått tilgang til hvelvet, eksporterte den ondsinnede aktøren både hvelvoppføringene og delt mappeinnhold. Innenfor de eksporterte dataene var krypterte sikre notater, samt LastPass dekrypteringsnøkler. Disse nøklene var nødvendig for å "få tilgang til AWS S3 LastPass produksjonssikkerhetskopier, andre skybaserte lagringsressurser og noen relaterte kritiske databasesikkerhetskopier."
LastPass har brukere som stiller spørsmål ved dens integritet
Mens noen brukere setter pris på LastPass sin åpenhet angående denne hendelsen, er mange sinte over de fortsatte sikkerhetsproblemene som selskapet lider. Forferdede brukere har tatt til Twitter for å få lufte følelsene sine om LastPass sin sikkerhetsintegritet. Som vist nedenfor, kritiserte en person LastPass sin beslutning om å gi visse ansatte tilgang til et dekryptert passordhvelv.
LastPass sitt rykte ser ut til å være ødelagt midt i disse angrepene
Etter å ha støtt på en rekke sikkerhetsproblemer de siste årene, stiller folk nå spørsmål ved om LastPass er et legitimt alternativ for passordlagring. Med noen brukere som allerede har forlatt LastPass, er det ingen anelse om hvordan denne passordbehandleren vil klare denne stormen.
