LastPass je poročal, da je bil domači računalnik inženirja DevOps ogrožen zaradi kraje podatkov iz trezorja gesel med kršitvijo podatkov avgusta 2022.
LastPass je med vdorom leta 2022 izgubil podatke o trezorju
Upravitelj gesel LastPass je razkril več informacij o svoji kršitvi podatkov avgusta 2022, pri čemer je izjavil, da je bil domači računalnik inženirja DevOps vlomljen z namenom kraje podatkov iz trezorja gesel.
LastPass je 27. februarja 2023 izdal varnostno svetovanje glede kršitve podatkov, do katere je prišlo avgusta 2022. LastPass je bralce že obvestil, da so bili v napadu dostopani do sefov podatkov strank, z še en napad novembra 2022 ki je bil povezan s prvim. Iz začetnega zadetka naj bi bilo ukradenih tudi 53.000 dolarjev v bitcoinih, zaradi česar je bila vložena skupinska tožba.
V LastPass varnostno svetovanje, je bilo zapisano, da je zlonamerni operater med napadom avgusta 2022 lahko "izkoristil veljavne poverilnice, ukradene višjemu inženirju DevOps, za dostop do skupno okolje za shranjevanje v oblaku, kar je preiskovalcem na začetku otežilo razlikovanje med aktivnostjo akterja grožnje in tekočo zakonito dejavnostjo.
Inženir DevOps je imel dostop do ključev za dešifriranje, zaradi česar so postali glavna tarča napadalca. Ti ključi so omogočili dostop do LastPassovih storitev za shranjevanje v oblaku, ki vsebujejo podatke o strankah LastPass in šifrirane podatke trezorja. Samo štirje inženirji LastPass DevOps so imeli dostop do teh ključev, le eden je bil uspešno ciljno usmerjen.
LastPass je tudi izjavil, da je "akter grožnje izviral iz prvega incidenta, ki se je končal 12. avgusta 2022, vendar je bil aktivno vključen v novi seriji dejavnosti izvidovanja, popisovanja in izločanja, usklajenih z okoljem za shranjevanje v oblaku, ki sega od 12. avgusta 2022 do 26. oktobra 2022.« Težava je bila šele, ko je AWS GuardDuty Alerts obvestil LastPass o nenavadni dejavnosti poudarjeno.
Programski paket je bil izkoriščen za ogrožanje ciljnega računalnika
Da bi napadalec vdrl v domači računalnik inženirja DevOps, je izkoristil ranljiv medijski paket programske opreme tretje osebe. S tem izkoriščanjem je lahko napadalec omogočil in izvedel oddaljeno izvajanje kode, kar je vodilo do namestitve zlonamerne programske opreme keylogger. Ta keylogger je bil nato uporabljen za krajo glavnega gesla zaposlenega in dostop do trezorja podjetja LastPass.
Po dostopu do trezorja je zlonamerni akter izvozil vnose v trezor in vsebino mape v skupni rabi. Znotraj izvoženih podatkov so bili šifrirani varni zapiski, kot tudi Ključi za dešifriranje LastPass. Ti ključi so bili potrebni za "dostop do produkcijskih varnostnih kopij AWS S3 LastPass, drugih virov za shranjevanje v oblaku in nekaterih povezanih kritičnih varnostnih kopij baze podatkov."
LastPass uporabniki dvomijo o njegovi integriteti
Medtem ko nekateri uporabniki cenijo transparentnost LastPassa v zvezi s tem incidentom, so mnogi jezni zaradi nadaljnjih varnostnih težav, s katerimi se sooča podjetje. Zgroženi uporabniki so na Twitterju izrazili svoje občutke glede varnostne integritete LastPass. Kot je prikazano spodaj, je en posameznik kritiziral odločitev družbe LastPass, da nekaterim zaposlenim omogoči dostop do trezorja dešifriranih gesel.
Zdi se, da je ugled družbe LastPass zaradi teh napadov omadeževan
Po številnih varnostnih težavah v zadnjih letih se ljudje zdaj sprašujejo, ali je LastPass legitimna možnost za shranjevanje gesel. Ker nekateri uporabniki že zapuščajo LastPass, ni znano, kako bo ta upravitelj gesel prestal to nevihto.