LastPass ha riferito che il computer di casa di un ingegnere DevOps è stato compromesso per rubare i dati del vault delle password durante la violazione dei dati dell'agosto 2022.
LastPass Lost Vault Data nella violazione del 2022
Il gestore di password LastPass ha rivelato ulteriori informazioni sulla sua violazione dei dati dell'agosto 2022, affermando che il computer di casa di un ingegnere DevOps è stato violato per rubare i dati del vault delle password.
Il 27 febbraio 2023, LastPass ha rilasciato un avviso di sicurezza relativo alla violazione dei dati subita nell'agosto 2022. LastPass ha già informato i lettori che durante l'attacco è stato effettuato l'accesso ai depositi di dati dei clienti, con un altro attacco avvenuto nel novembre 2022 che era legato al primo. Dal colpo iniziale, sarebbero stati rubati anche $ 53.000 in Bitcoin, da cui è stata intentata un'azione legale collettiva.
Nel Avviso di sicurezza LastPass, è stato scritto che, durante l'attacco dell'agosto 2022, l'operatore malintenzionato è stato in grado di "sfruttare credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di archiviazione cloud condiviso, che inizialmente ha reso difficile per gli investigatori distinguere tra attività degli attori delle minacce e attività legittime in corso".
L'ingegnere DevOps aveva accesso alle chiavi di decrittazione, il che le rendeva un obiettivo primario per l'attaccante. Queste chiavi consentivano l'accesso ai servizi di archiviazione cloud di LastPass, che contengono i dati dei clienti di LastPass e i dati del caveau crittografati. Solo quattro ingegneri LastPass DevOps avevano accesso a queste chiavi, e solo una è stata presa di mira con successo.
LastPass ha anche affermato che "l'attore della minaccia ha fatto perno dal primo incidente, che si è concluso il 12 agosto 2022, ma è stato attivamente coinvolto in una nuova serie di attività di ricognizione, enumerazione ed esfiltrazione allineate all'ambiente di archiviazione cloud che va da Dal 12 agosto 2022 al 26 ottobre 2022." È stato solo quando AWS GuardDuty Alerts ha notificato a LastPass attività insolite che il problema è stato evidenziato.
Un pacchetto software è stato sfruttato per compromettere il PC preso di mira
Per hackerare il computer di casa dell'ingegnere DevOps, l'aggressore ha sfruttato un pacchetto multimediale software di terze parti vulnerabile. Attraverso questo exploit, l'attaccante potrebbe abilitare ed eseguire l'esecuzione di codice in modalità remota, che ha portato all'installazione di malware keylogger. Questo keylogger è stato quindi utilizzato per rubare la password principale del dipendente e accedere al caveau aziendale di LastPass.
Dopo l'accesso al deposito, l'attore malintenzionato ha esportato sia le voci del deposito che il contenuto della cartella condivisa. All'interno dei dati esportati sono state crittografate anche le note sicure Chiavi di decrittazione LastPass. Queste chiavi erano necessarie per "accedere ai backup di produzione AWS S3 LastPass, ad altre risorse di archiviazione basate su cloud e ad alcuni backup di database critici correlati".
LastPass ha utenti che mettono in dubbio la sua integrità
Mentre alcuni utenti apprezzano la trasparenza di LastPass in merito a questo incidente, molti sono irritati dai continui problemi di sicurezza subiti dall'azienda. Gli utenti sgomenti si sono rivolti a Twitter per sfogare i loro sentimenti sull'integrità della sicurezza di LastPass. Come visto di seguito, un individuo ha criticato la decisione di LastPass di concedere a determinati dipendenti l'accesso a un deposito di password decrittografato.
La reputazione di LastPass sembra contaminata da questi attacchi
Dopo aver riscontrato numerosi problemi di sicurezza negli ultimi anni, le persone ora si chiedono se LastPass sia un'opzione legittima per l'archiviazione delle password. Con alcuni utenti che si sono già lasciati alle spalle LastPass, non si sa come questo gestore di password supererà questa tempesta.