LastPass опубликовала информацию о собственном расследовании инцидентов безопасности, произошедших в прошлом году – данные оказались неутешительными. Злоумышленники, причастные к инцидентам, проникли на домашний компьютер инженера DevOps компании, воспользовавшись сторонним медийным ПО.
На компьютер сотрудника был внедрен кейлоггер, который использовали для хищения мастер-пароля учетной записи с доступом к корпоративному хранилищу LastPass. Проникнув в хранилище, хакеры экспортировали записи и папки, которые содержали ключи дешифрования, необходимые для разблокировки облачных хранилищ Amazon S3 с резервными копиями данных клиентов.
Напомним, в августе 2022 года LastPass сообщила, что «неавторизованная сторона» получила доступ к её системе. Позже компания заявила, что злоумышленники «активно участвовали в новой серии действий по разведке, подсчету и єксфильтрации данных, связанных со средой облачного хранилища, с 12 августа 2022 года по 26 октября 2022 года».
Когда LastPass объявила о втором нарушении безопасности в декабре, она заявила, что злоумышленники использовали информацию, полученную в результате первого инцидента, чтобы проникнуть в ее облачный сервис. Она признала, что хакеры завладели большим количеством конфиденциальной информации, включая хранилища Amazon S3. Чтобы получить доступ к данным, сохраненным в них, хакерам нужны были ключи дешифрования, сохраненные в «строго ограниченном наборе общих папок в хранилище менеджера паролей LastPass». Вот почему злоумышленники нацелились на одного из четырех инженеров DevOps, у которых был доступ к ключам, необходимым для разблокировки облачного хранилища компании.
В обнародованном документе поддержки LastPass подробно описала данные, к которым злоумышленники получили доступ во время обоих инцидентов. Облачные резервные копии, к которым был получен доступ во время второго взлома, включали «секреты API, секреты сторонней интеграции, метаданные клиентов и резервные копии всех данных хранилища клиентов».
LastPass настаивает на том, что все конфиденциальные данные хранилища клиентов, за некоторым исключением, «могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя». Компания добавила, что не хранит мастер-пароли пользователей.
LastPass также подробно рассказала о шагах, которые предприняла для усиления своей защиты в будущем, включая пересмотр системы обнаружения угроз и выделение «многомиллионных средств» на нужды безопасности.