LastPass har rapporterat att en DevOps-ingenjörs hemdator komprometterades för att stjäla lösenordsvalvdata under dataintrånget i augusti 2022.
LastPass förlorade valvdata i 2022 års intrång
Lösenordshanteraren LastPass har avslöjat mer information om dess dataintrång i augusti 2022, och anger att en DevOps-ingenjörs hemdator hackades för att stjäla lösenordsvalvdata.
Den 27 februari 2023 släppte LastPass en säkerhetsrådgivning angående dataintrånget i augusti 2022. LastPass har redan informerat läsarna om att kunddatavalv nåddes i attacken, med ytterligare en attack ägde rum i november 2022 som var kopplat till den första. Från den första träffen påstås också ha stulits 53 000 dollar i Bitcoin, varifrån en grupptalan väcktes.
I den LastPass säkerhetsrådgivning, skrevs det att under attacken i augusti 2022 kunde den skadliga operatören "utnyttja giltiga referenser som stulits från en senior DevOps-ingenjör för att få tillgång till en delad molnlagringsmiljö, vilket till en början gjorde det svårt för utredare att skilja mellan hotaktörsaktivitet och pågående legitim aktivitet."
DevOps-ingenjören hade tillgång till dekrypteringsnycklar, vilket gjorde dem till ett främsta mål för angriparen. Dessa nycklar gav åtkomst till LastPass molnlagringstjänster, som innehåller LastPass kunddata och krypterad valvdata. Endast fyra LastPass DevOps-ingenjörer hade tillgång till dessa nycklar, varav bara en var framgångsrik.
LastPass uppgav också att "hotaktören svängde från den första incidenten, som slutade den 12 augusti 2022, men var aktivt engagerad i en ny serie spanings-, uppräknings- och exfiltreringsaktiviteter anpassade till molnlagringsmiljön som sträcker sig från 12 augusti 2022 till 26 oktober 2022." Det var inte förrän AWS GuardDuty Alerts meddelade LastPass om ovanlig aktivitet som problemet var markerad.
Ett programpaket utnyttjades för att äventyra den riktade datorn
För att hacka DevOps-ingenjörens hemdator utnyttjade angriparen ett sårbart mediepaket från tredje part. Genom denna exploatering kunde angriparen aktivera och utföra fjärrkörning av kod, vilket ledde till installationen av keylogger skadlig kod. Denna keylogger användes sedan för att stjäla medarbetarens huvudlösenord och komma åt LastPass företagsvalv.
Efter att ha kommit åt valvet exporterade den illvilliga aktören både valvposterna och innehållet i delad mapp. Inom den exporterade data fanns krypterade säkra anteckningar, samt LastPass dekrypteringsnycklar. Dessa nycklar behövdes för att "åtkomst till AWS S3 LastPass-produktionssäkerhetskopiorna, andra molnbaserade lagringsresurser och några relaterade kritiska databassäkerhetskopior."
LastPass har användare som ifrågasätter dess integritet
Medan vissa användare uppskattar LastPass transparens angående denna incident, är många arga över de fortsatta säkerhetsproblemen som företaget lider av. Besvikna användare har tagit till Twitter för att få ut sina känslor om LastPass säkerhetsintegritet. Som framgår nedan kritiserade en individ LastPass beslut att ge vissa anställda tillgång till ett dekrypterat lösenordsvalv.
LastPass rykte verkar försämrat mitt i dessa attacker
Efter att ha stött på många säkerhetsproblem under de senaste åren ifrågasätter folk nu om LastPass är ett legitimt alternativ för lösenordslagring. Med vissa användare som redan lämnar LastPass bakom sig, vet man inte hur den här lösenordshanteraren kommer att klara denna storm.