LastPass опублікувала інформацію щодо власного розслідування інцидентів безпеки, котрі відбулися минулого року – дані виявилися невтішними. Зловмисники, причетні до інцидентів, проникли на домашній комп’ютер інженера DevOps компанії за допомогою стороннього медійного програмного забезпечення.
На комп’ютер співробітника був встановлений кейлогер, який використовували для розкрадання майстер-паролю облікового запису з доступом до корпоративного сховища LastPass. Коли дісталися сховища, хакери експортували записи та теки, що містили ключі дешифрування, необхідні для розблокування хмарних сховищ Amazon S3 з резервними копіями даних клієнтів.
Нагадаємо, у серпні 2022 року LastPass повідомила, що «неавторизована сторона» отримала доступ до її системи. Пізніше компанія заявила, що зловмисники «брали активну участь у новій серії дій з розвідки, підрахунку та ексфільтрації даних, пов’язаних із середовищем хмарного сховища, з 12 серпня 2022 року по 26 жовтня 2022 року».
Коли LastPass оголосила про другу спробу порушення безпеки у грудні, вона заявила, що зловмисники використали інформацію, отриману в результаті першого інциденту, щоб проникнути до її хмарного сервісу. Вона визнала, що хакери заволоділи великою кількістю конфіденційної інформації, включаючи сховища Amazon S3. Щоб отримати доступ до даних, збережених у них, хакерам потрібні були ключі дешифрування, збережені в «суворо обмеженому наборі спільних тек у сховище менеджера паролів LastPass». Ось чому зловмисники націлилися на одного з чотирьох інженерів DevOps, які мали доступ до ключів, необхідних для розблокування хмарного сховища компанії.
В оприлюдненому документі підтримки LastPass докладно описала дані, до яких зловмисники отримали доступ під час обох інцидентів. Хмарні резервні копії, до яких було отримано доступ під час другого злому, включали «секрети API, секрети сторонньої інтеграції, метадані клієнтів та резервні копії всіх даних сховища клієнтів».
LastPass наполягає на тому, що всі конфіденційні дані сховищ клієнтів, за деяким винятком, можуть бути розшифровані тільки за допомогою унікального ключа шифрування, отриманого з майстер-пароля кожного користувача. Компанія додала, що не зберігає майстер-паролі користувачів.
LastPass також докладно розповіла про кроки, які зробила для посилення власного захисту у майбутньому, включаючи перегляд системи виявлення загроз та виділення «багатомільйонних коштів» на потреби безпеки.
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: