Разработчики LastPass Password Manager подтвердили, что в августе 2022 года собственная система безопасности имела уязвимые места. То, что изначально выглядело как незначительный инцидент, привело ко второму, более масштабному взлому позже в 2022 году, в результате которого были украдены данные клиентов. Достоянием злоумышленников стали данные хранилища пользователей, которые содержали все сохраненные пароли, заметки и другую личную информацию клиентов LastPass.
Пользователям LastPass было настоятельно рекомендовано сразу изменить все свои пароли, хранящиеся в сервисе, поскольку у киберпреступников были все необходимые данные для расшифровки хранилищ паролей и получения доступа ко всем сохраненным паролям.
Взлом LastPass: окончательный анализ
LastPass подтверждает завершение расследования взлома своей инфраструктуры. Согласно компании, оба взлома не были «вызваны каким-либо дефектом продукта LastPass или несанкционированным доступом к производственным системам или злоупотреблением ими». Злоумышленник использовал уязвимость, чтобы получить доступ к непроизводственной среде разработки и хранения резервных копий.
Что касается первого инцидента, то атака началась с компрометации корпоративного ноутбука инженера-программиста LastPass. В результате злоумышленник получил доступ к облачной среде разработки и скопировал фрагменты исходного кода, техническую информацию и «некоторые внутренние системные секреты LastPass». Данные клиентов или данные пользовательских хранилищ не были получены во время первого взлома.
В качестве реакции на первый инцидент, LastPass развернул дополнительные технологии безопасности и элементы управления, удалил среду разработки и создал ее с нуля, а также «поменял все соответствующие секреты и открытые сертификаты».
Второй масштабный взлом LastPass
Злоумышленник использовал информацию, полученную во время первого взлома для таргетированной атаки на «старшего инженера DevOps», снова с использованием уязвимого стороннего ПО.
Уязвимость использовалась для развертывания вредоносных программ, обхода средств контроля и получения доступа к облачным резервным копиям. Резервные копии включали «данные о конфигурации системы, токены API, токены сторонней интеграции, а также зашифрованные и незашифрованные данные клиентов LastPass.
В документе поддержки LastPass подтверждает, что злоумышленник смог скопировать резервные копии данных хранилища клиентов LastPass для пяти разных дат: 20 августа 2022 г., 30 августа 2022 г., 31 августа 2022 г., 8 сентября 2022 г. и 16 сентября 2022 г.
Данные хранятся в агрегированном формате BLOB и состоят из «наборов двоичных строк, разделенных на определенные разделы». Они не являются «представителями полностью собранных хранилищ, которые отображаются в удобочитаемой форме в клиенте LastPass».
Согласно LastPass, объекты BLOB содержат зашифрованные и расшифрованные данные.
Зашифрованные поля в хранилище включают:
- Имя сайта, папка сайта, имя пользователя и история его изменений, пароль и история его изменений, содержимое заметок сайта, зашифрованный секрет TOTP, настраиваемое заполняемое поле формы, настраиваемое заполняемое содержимое поля формы.
- Названия защищенных заметок, папка, имя файла вложения, вложение, ключ шифрования зашифрованного вложения, содержимое заметки.
- Названия групп, зашифрованные ключи общего доступа, зашифрованный ключ общего доступа администратора.
Незашифрованные данные включают:
- Данные бизнес-клиентов и команд: платежный адрес, название компании, ИНН, адрес электронной почты, имя конечного пользователя, IP-адрес, номер телефона, уникальный идентификатор мобильного устройства, итерации PBKDF2 SHA256.
- Домашние пользователи: платежный адрес, адрес электронной почты, имя конечного пользователя, IP-адрес, номер телефона, уникальный идентификатор мобильного устройства, итерации PBKDF2 SHA256.
LastPass рассказал, что потенциально может сделать злоумышленник с полученными данными:
Злоумышленник может попытаться взломать и расшифровать копии данных хранилища. Архитектура шифрования LastPass с нулевым разглашением предназначена для защиты конфиденциальной информации клиентов от попыток взлома зашифрованных данных. Злоумышленник также может использовать часть полученных данных, чтобы проводить таргетированные фишинг-атаки на клиентов, а также атаки с подменой учетных данных или другие атаки социальной инженерии на онлайн-аккаунты, связанные с хранилищем LastPass.
Что сделано для усиления безопасности
В качестве ответной реакции на взломы, LastPass развернул «несколько новых технологий безопасности» в своей инфраструктуре. Компания заявляет, что «расставила приоритеты и инициировала значительные инвестиции в безопасность, конфиденциальность и методы работы, провела всесторонний анализ политик безопасности и внесла изменения для ограничения доступа и привилегий».
Компания наняла новых руководителей и увеличила инвестиции в безопасность «людей, процессов и технологий».
LastPass планирует обновить количество итерации паролей до 600 тысяч для новых и существующих клиентов. Кроме того, в ближайшем будущем URL-адрес и поля, связанные с URL-адресом, будут зашифрованы и появится поддержка Argon2.
Компания заявляет, что злоумышленник не пытался связаться с целью шантажа. LastPass неизвестно о попытках продажи данных в даркнете. Для клиентов особенно важно, чтобы мастер-пароль и все сохраненные пароли были изменены, поскольку злоумышленник может попытаться взломать хранилища, чтобы получить доступ к паролям.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах