LastPass har rapporteret, at en DevOps-ingeniørs hjemmecomputer blev kompromitteret til at stjæle adgangskodehvælvingsdata under databruddet i august 2022.
LastPass mistede vault-data i 2022-bruddet
Adgangskodemanager LastPass har afsløret flere oplysninger om dets databrud i august 2022, hvori det hedder, at en DevOps-ingeniørs hjemmecomputer blev hacket for at stjæle adgangskodehvælvingsdata.
Den 27. februar 2023 udgav LastPass en sikkerhedsadvisering vedrørende databrudet i august 2022. LastPass informerede allerede læserne om, at kundedatabokse blev tilgået i angrebet, med endnu et angreb fandt sted i november 2022 der var knyttet til den første. Fra det første hit blev $53.000 i Bitcoin angiveligt også stjålet, hvorfra der blev anlagt en gruppesøgsmål.
I den LastPass sikkerhedsrådgivning, blev det skrevet, at under angrebet i august 2022 var den ondsindede operatør i stand til at "udnytte gyldige legitimationsoplysninger stjålet fra en senior DevOps-ingeniør for at få adgang til en delt cloud-storage-miljø, som i starten gjorde det vanskeligt for efterforskere at skelne mellem trusselsaktøraktivitet og igangværende legitim aktivitet."
DevOps-ingeniøren havde adgang til dekrypteringsnøgler, hvilket gjorde dem til et primært mål for angriberen. Disse nøgler tillod adgang til LastPass's cloud storage-tjenester, som indeholder LastPass-kundedata og krypterede vault-data. Kun fire LastPass DevOps-ingeniører havde adgang til disse nøgler, hvor kun én blev målrettet.
LastPass udtalte også, at "trusselsaktøren drejede sig fra den første hændelse, som sluttede den 12. august 2022, men var aktivt engageret i en ny serie af rekognoscerings-, optællings- og eksfiltreringsaktiviteter tilpasset skylagermiljøet, der strækker sig fra 12. august 2022 til 26. oktober 2022." Det var ikke før AWS GuardDuty Alerts underrettede LastPass om usædvanlig aktivitet, at problemet var fremhævet.
En softwarepakke blev udnyttet til at kompromittere den målrettede pc
For at hacke DevOps-ingeniørens hjemmecomputer udnyttede angriberen en sårbar tredjepartssoftwaremediepakke. Gennem denne udnyttelse kunne angriberen aktivere og udføre fjernudførelse af kode, hvilket førte til installationen af keylogger-malware. Denne keylogger blev derefter brugt til at stjæle medarbejderens hovedadgangskode og få adgang til LastPass-virksomhedsboksen.
Efter at have fået adgang til hvælvingen eksporterede den ondsindede aktør både boksposterne og delt mappeindhold. Inden for de eksporterede data var krypterede sikre noter, samt LastPass dekrypteringsnøgler. Disse nøgler var nødvendige for at "få adgang til AWS S3 LastPass produktionssikkerhedskopier, andre skybaserede lagerressourcer og nogle relaterede kritiske databasesikkerhedskopier."
LastPass har brugere, der sætter spørgsmålstegn ved dens integritet
Mens nogle brugere værdsætter LastPass's gennemsigtighed vedrørende denne hændelse, er mange vrede over de fortsatte sikkerhedsproblemer, som virksomheden lider under. Forfærdede brugere har taget til Twitter for at få luftet deres følelser om LastPass's sikkerhedsintegritet. Som det ses nedenfor, kritiserede en person LastPass' beslutning om at give visse medarbejdere adgang til en dekrypteret adgangskodeboks.
LastPass' omdømme synes plettet midt i disse angreb
Efter at have løbet ind i adskillige sikkerhedsproblemer i de seneste år, stiller folk nu spørgsmålstegn ved, om LastPass er en legitim mulighed for adgangskodelagring. Med nogle brugere, der allerede forlader LastPass bag sig, er der ingen viden om, hvordan denne adgangskodemanager vil klare denne storm.
