Масштабная утечка данных в LastPass произошла в результате того, что один из инженеров компании не обновил Plex на своём домашнем компьютере, что является печальным напоминанием об опасностях, связанных с неспособностью поддерживать программное обеспечение в актуальном состоянии.
На прошлой неделе пострадавший сервис управления паролями рассказал о том, как неизвестные лица использовали информацию, украденную из предыдущего инцидента, произошедшего до 12 августа 2022 года, а также данные, «полученные в результате нарушения конфиденциальности данных третьей стороной, и уязвимость в программном пакете мультимедиа третьей стороны для проведения скоординированной второй атаки» в период с августа по октябрь 2022 года.
В результате вторжения злоумышленникам удалось похитить частично зашифрованные данные хранилища паролей и информацию о клиентах.
Вторая атака была направлена конкретно на одного из четырёх инженеров команды DevOps. Для получения учётных данных и взлома облачного хранилища на его домашний компьютер была установлена вредоносная программа-кейлоггер.
Это, в свою очередь, стало возможным благодаря использованию почти трёхлетней, уже исправленной уязвимости в Plex для выполнения кода на компьютере инженера, говорится в заявлении сервиса воспроизведения потокового мультимедиа.
Речь идёт об уязвимости CVE-2020-5741, дефекте десериализации в Plex Media Server под Windows, который позволяет удалённому, аутентифицированному злоумышленнику выполнить произвольный код Python в контексте текущего пользователя операционной системы.
«Эта уязвимость позволяет злоумышленнику, имеющему доступ к учётной записи Plex администратора сервера, загрузить вредоносный файл через функцию Camera Upload и заставить медиа-сервер выполнить его», – говорилось в сообщении Plex, выпущенном в то время.
Проблема, обнаруженная и переданная в Plex компанией Tenable в марте 2020 года, была устранена в версии 1.19.3.2764, выпущенной 7 мая 2020 года. Текущая версия Plex - 1.31.1.6733.
«К сожалению, сотрудник LastPass так и не обновил своё программное обеспечение, чтобы активировать патч», – говорится в заявлении Plex. «Для справки, версия, которая устраняла этот эксплойт, была выпущена примерно 75 версий назад».
Какое понесёт наказание сотрудник LastPass неизвестно, но самый главный урок своей жизни, кажется, он уже усвоил.
Ещё по теме:
- Apple «неминуемо» выпустит iPhone 14 в жёлтом цвете
- Слух: Новые MacBook Air и 13-дюймовые MacBook Pro будут оснащены чипом M3
- Слух: 15-дюймовый MacBook Air будет представлен в апреле