Ngày 23 tháng 12 năm 2022Ravie LakshmananQuản lý mật khẩu / Xâm phạm dữ liệu
Vụ vi phạm bảo mật của LastPass vào tháng 8 năm 2022 có thể nghiêm trọng hơn những gì công ty đã tiết lộ trước đây.
Dịch vụ quản lý mật khẩu phổ biến hôm thứ Năm đã tiết lộ rằng các tác nhân độc hại đã lấy được một kho thông tin cá nhân thuộc về khách hàng của họ, bao gồm các kho mật khẩu được mã hóa của họ bằng cách sử dụng dữ liệu thu được từ vụ đột nhập.
Cũng bị đánh cắp là “thông tin tài khoản khách hàng cơ bản và siêu dữ liệu liên quan bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà khách hàng đã truy cập dịch vụ LastPass”, công ty cho biết.
Sự cố tháng 8 năm 2022 vẫn là chủ đề của một cuộc điều tra đang diễn ra, liên quan đến những kẻ có hành vi sai trái truy cập vào mã nguồn và thông tin kỹ thuật độc quyền từ môi trường phát triển của nó thông qua một tài khoản nhân viên bị xâm phạm.
LastPass cho biết điều này cho phép kẻ tấn công không xác định có được thông tin đăng nhập và khóa mà sau đó được tận dụng để trích xuất thông tin từ bản sao lưu được lưu trữ trong dịch vụ lưu trữ dựa trên đám mây, mà nó nhấn mạnh là tách biệt về mặt vật lý với môi trường sản xuất của nó.
Ngoài ra, kẻ thù được cho là đã sao chép dữ liệu kho tiền của khách hàng từ dịch vụ lưu trữ được mã hóa. Nó được lưu trữ ở “định dạng nhị phân độc quyền” chứa cả dữ liệu không được mã hóa, chẳng hạn như URL trang web và các trường được mã hóa đầy đủ như tên người dùng và mật khẩu trang web, ghi chú an toàn và dữ liệu điền vào biểu mẫu.
Công ty giải thích rằng các trường này được bảo vệ bằng mã hóa AES 256 bit và chỉ có thể được giải mã bằng khóa lấy từ mật khẩu chính của người dùng trên thiết bị của người dùng.
LastPass đã xác nhận rằng lỗ hổng bảo mật không liên quan đến quyền truy cập vào dữ liệu thẻ tín dụng không được mã hóa vì thông tin này không được lưu trữ trong vùng lưu trữ đám mây.
Công ty không tiết lộ thời gian gần đây của bản sao lưu, nhưng cảnh báo rằng tác nhân đe dọa “có thể cố gắng sử dụng vũ lực để đoán mật khẩu chính của bạn và giải mã các bản sao dữ liệu vault mà chúng đã lấy”, cũng như nhắm mục tiêu khách hàng bằng kỹ thuật xã hội và các cuộc tấn công nhồi thông tin xác thực.
Ở giai đoạn này, cần lưu ý rằng sự thành công của các cuộc tấn công brute-force nhằm dự đoán mật khẩu chính tỷ lệ nghịch với độ mạnh của chúng, nghĩa là mật khẩu càng dễ đoán thì số lần thử bẻ khóa càng ít.
“Nếu bạn sử dụng lại mật khẩu chính của mình và mật khẩu đó đã từng bị xâm phạm, kẻ đe dọa có thể sử dụng các thông tin xác thực bị xâm phạm đã có sẵn trên internet để cố gắng truy cập vào tài khoản của bạn”, LastPass cảnh báo.
Thực tế là các URL của trang web ở dạng văn bản thuần túy có nghĩa là việc giải mã thành công mật khẩu chính có thể giúp những kẻ tấn công biết được các trang web mà một người dùng cụ thể nắm giữ tài khoản, cho phép chúng thực hiện các cuộc tấn công đánh cắp thông tin xác thực hoặc lừa đảo bổ sung.
Công ty cho biết thêm rằng họ đã thông báo cho một nhóm nhỏ khách hàng doanh nghiệp của mình – chiếm dưới 3% – để thực hiện một số hành động không xác định dựa trên cấu hình tài khoản của họ.
Sự phát triển diễn ra vài ngày sau khi Okta thừa nhận rằng các tác nhân đe dọa đã có quyền truy cập trái phép vào kho lưu trữ Workforce Identity Cloud (WIC) được lưu trữ trên GitHub và sao chép mã nguồn.
