LastPass опубликовал результаты анализа взлома своей инфраструктуры

2023-02-28 4095 комментарии
LastPass уведомил своих бизнес-клиентов о завершении расследования взлома своей инфраструктуры, который произошел в 2022 году

Разработчики LastPass Password Manager подтвердили, что в августе 2022 года собственная система безопасности имела уязвимые места. То, что изначально выглядело как незначительный инцидент, привело ко второму, более масштабному взлому позже в 2022 году, в результате которого были украдены данные клиентов. Достоянием злоумышленников стали данные хранилища пользователей, которые содержали все сохраненные пароли, заметки и другую личную информацию клиентов LastPass.

Пользователям LastPass было настоятельно рекомендовано сразу изменить все свои пароли, хранящиеся в сервисе, поскольку у киберпреступников были все необходимые данные для расшифровки хранилищ паролей и получения доступа ко всем сохраненным паролям.

Взлом LastPass: окончательный анализ

LastPass подтверждает завершение расследования взлома своей инфраструктуры. Согласно компании, оба взлома не были «вызваны каким-либо дефектом продукта LastPass или несанкционированным доступом к производственным системам или злоупотреблением ими». Злоумышленник использовал уязвимость, чтобы получить доступ к непроизводственной среде разработки и хранения резервных копий.

Что касается первого инцидента, то атака началась с компрометации корпоративного ноутбука инженера-программиста LastPass. В результате злоумышленник получил доступ к облачной среде разработки и скопировал фрагменты исходного кода, техническую информацию и «некоторые внутренние системные секреты LastPass». Данные клиентов или данные пользовательских хранилищ не были получены во время первого взлома.

В качестве реакции на первый инцидент, LastPass развернул дополнительные технологии безопасности и элементы управления, удалил среду разработки и создал ее с нуля, а также «поменял все соответствующие секреты и открытые сертификаты».

Второй масштабный взлом LastPass

Злоумышленник использовал информацию, полученную во время первого взлома для таргетированной атаки на «старшего инженера DevOps», снова с использованием уязвимого стороннего ПО.

Уязвимость использовалась для развертывания вредоносных программ, обхода средств контроля и получения доступа к облачным резервным копиям. Резервные копии включали «данные о конфигурации системы, токены API, токены сторонней интеграции, а также зашифрованные и незашифрованные данные клиентов LastPass.

В документе поддержки LastPass подтверждает, что злоумышленник смог скопировать резервные копии данных хранилища клиентов LastPass для пяти разных дат: 20 августа 2022 г., 30 августа 2022 г., 31 августа 2022 г., 8 сентября 2022 г. и 16 сентября 2022 г.

Данные хранятся в агрегированном формате BLOB и состоят из «наборов двоичных строк, разделенных на определенные разделы». Они не являются «представителями полностью собранных хранилищ, которые отображаются в удобочитаемой форме в клиенте LastPass».

Согласно LastPass, объекты BLOB содержат зашифрованные и расшифрованные данные.

Зашифрованные поля в хранилище включают:

  • Имя сайта, папка сайта, имя пользователя и история его изменений, пароль и история его изменений, содержимое заметок сайта, зашифрованный секрет TOTP, настраиваемое заполняемое поле формы, настраиваемое заполняемое содержимое поля формы.
  • Названия защищенных заметок, папка, имя файла вложения, вложение, ключ шифрования зашифрованного вложения, содержимое заметки.
  • Названия групп, зашифрованные ключи общего доступа, зашифрованный ключ общего доступа администратора.

Незашифрованные данные включают:

  • Данные бизнес-клиентов и команд: платежный адрес, название компании, ИНН, адрес электронной почты, имя конечного пользователя, IP-адрес, номер телефона, уникальный идентификатор мобильного устройства, итерации PBKDF2 SHA256.
  • Домашние пользователи: платежный адрес, адрес электронной почты, имя конечного пользователя, IP-адрес, номер телефона, уникальный идентификатор мобильного устройства, итерации PBKDF2 SHA256.

LastPass рассказал, что потенциально может сделать злоумышленник с полученными данными:

Злоумышленник может попытаться взломать и расшифровать копии данных хранилища. Архитектура шифрования LastPass с нулевым разглашением предназначена для защиты конфиденциальной информации клиентов от попыток взлома зашифрованных данных. Злоумышленник также может использовать часть полученных данных, чтобы проводить таргетированные фишинг-атаки на клиентов, а также атаки с подменой учетных данных или другие атаки социальной инженерии на онлайн-аккаунты, связанные с хранилищем LastPass.

Что сделано для усиления безопасности

В качестве ответной реакции на взломы, LastPass развернул «несколько новых технологий безопасности» в своей инфраструктуре. Компания заявляет, что «расставила приоритеты и инициировала значительные инвестиции в безопасность, конфиденциальность и методы работы, провела всесторонний анализ политик безопасности и внесла изменения для ограничения доступа и привилегий».

Компания наняла новых руководителей и увеличила инвестиции в безопасность «людей, процессов и технологий».

LastPass планирует обновить количество итерации паролей до 600 тысяч для новых и существующих клиентов. Кроме того, в ближайшем будущем URL-адрес и поля, связанные с URL-адресом, будут зашифрованы и появится поддержка Argon2.

Компания заявляет, что злоумышленник не пытался связаться с целью шантажа. LastPass неизвестно о попытках продажи данных в даркнете. Для клиентов особенно важно, чтобы мастер-пароль и все сохраненные пароли были изменены, поскольку злоумышленник может попытаться взломать хранилища, чтобы получить доступ к паролям.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте