Компания LastPass опубликовала обновлённую информацию о расследовании нескольких инцидентов безопасности, произошедших в прошлом году, и ситуация выглядит более серьёзной, чем предполагалось ранее.
По всей видимости, злоумышленники, участвовавшие во взломах, проникли на домашний компьютер инженера компании, используя сторонний пакет мультимедийного программного обеспечения. Они внедрили в него кейлоггер, который затем использовали для перехвата мастер-пароля сотрудника для учётной записи с доступом к корпоративному хранилищу LastPass.
Получив доступ, они экспортировали записи хранилища и общие папки, содержащие ключи дешифровки, необходимые для разблокировки облачных хранилищ Amazon S3 с резервными копиями хранилищ клиентов.
Это расследование даёт нам более чёткое представление о том, как связаны между собой инциденты произошедшие в прошлом году. В августе 2022 года компания сообщила, что подверглась хакерской атаке в результате которой были скомпрометированы мастер-пароли сервиса.
В декабре компания объявила о втором взломе, и заявила, что злоумышленники использовали информацию, полученную в ходе первого инцидента, чтобы проникнуть в её облачную инфраструктуру. Компания также признала, что хакеры унесли с собой большое количество конфиденциальной информации.
Чтобы получить доступ к данным, сохранённым в облаке, хакерам понадобились ключи дешифровки, сохранённые в «строго ограниченном наборе общих папок в хранилище менеджера паролей LastPass». Именно поэтому целью злоумышленников стал один из четырёх инженеров, имевших доступ к ключам, необходимым для разблокировки облачного хранилища компании.
В документе (PDF), выпущенном компанией, подробно описаны данные, к которым получили доступ злоумышленники во время обоих взломов. Очевидно, что во время второго вторжения был получен доступ к резервным копиям «API, секретным ключам сторонних интеграций, метаданных клиентов и резервным копиям всех данных хранилища клиентов». В компании настаивают на том, что все конфиденциальные данные хранилища клиентов, за некоторыми исключениями, «могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из главного пароля каждого пользователя». Представители сервиса добавили, что не хранят мастер-пароли пользователей.
Компания LastPass также подробно описала шаги, которые она предприняла для укрепления своей защиты в будущем, включая пересмотр системы обнаружения угроз и «выделение многомиллионных средств для увеличения инвестиций в безопасность людей, процессов и технологий».
Если пользователи сервиса ещё не сделали этого, им настоятельно рекомендуется изменить свои мастер-пароли и все пароли, хранящиеся в их хранилищах, чтобы снизить потенциальные риски.
Ещё по теме: