Ngày 28 tháng 2 năm 2023Ravie Lakshmanan Bảo mật mật khẩu / Vi phạm dữ liệu
LastPass, vào tháng 12 năm 2022 đã tiết lộ một vụ vi phạm dữ liệu nghiêm trọng cho phép các tác nhân đe dọa truy cập vào kho mật khẩu được mã hóa, cho biết vụ việc xảy ra do cùng một kẻ thù đã phát động cuộc tấn công thứ hai vào hệ thống của họ.
Công ty cho biết một trong những kỹ sư DevOps của họ đã để máy tính cá nhân ở nhà của họ bị xâm phạm và bị nhiễm keylogger như một phần của cuộc tấn công mạng kéo dài nhằm lấy cắp dữ liệu nhạy cảm từ các máy chủ lưu trữ đám mây Amazon AWS của họ.
“Tác nhân đe dọa đã tận dụng thông tin bị đánh cắp trong sự cố đầu tiên, thông tin có sẵn từ vi phạm dữ liệu của bên thứ ba và lỗ hổng trong gói phần mềm phương tiện của bên thứ ba để khởi động cuộc tấn công thứ hai có phối hợp”, dịch vụ quản lý mật khẩu cho biết.
Sự xâm nhập này nhắm mục tiêu vào cơ sở hạ tầng, tài nguyên và một trong những nhân viên của công ty từ ngày 12 tháng 8 năm 2022 đến ngày 26 tháng 10 năm 2022. Mặt khác, sự cố ban đầu đã kết thúc vào ngày 12 tháng 8 năm 2022.
Vụ vi phạm vào tháng 8 cho thấy những kẻ xâm nhập truy cập mã nguồn và thông tin kỹ thuật độc quyền từ môi trường phát triển của nó bằng một tài khoản nhân viên bị xâm phạm.
Vào tháng 12 năm 2022, LastPass tiết lộ rằng kẻ đe dọa đã lợi dụng thông tin bị đánh cắp để truy cập vào môi trường lưu trữ dựa trên đám mây và nắm giữ “một số yếu tố nhất định trong thông tin của khách hàng của chúng tôi”.
Cuối tháng đó, kẻ tấn công không xác định được tiết lộ là đã có quyền truy cập vào bản sao lưu dữ liệu kho tiền của khách hàng mà kẻ tấn công cho biết đã được bảo vệ bằng mã hóa AES 256-bit. Nó không tiết lộ bản sao lưu gần đây như thế nào.
GoTo, công ty mẹ của LastPass, cũng đã thừa nhận vi phạm vào tháng trước do truy cập trái phép vào dịch vụ lưu trữ đám mây của bên thứ ba.
Hiện tại, theo công ty, tác nhân đe dọa đã tham gia vào một loạt “hoạt động do thám, liệt kê và đánh cắp” mới nhằm vào dịch vụ lưu trữ đám mây của họ từ tháng 8 đến tháng 10 năm 2022.
“Cụ thể, tác nhân đe dọa có thể tận dụng thông tin xác thực hợp lệ bị đánh cắp từ một kỹ sư DevOps cấp cao để truy cập vào môi trường lưu trữ đám mây dùng chung,” LastPass cho biết thêm rằng kỹ sư “có quyền truy cập vào các khóa giải mã cần thiết để truy cập dịch vụ lưu trữ đám mây.”
Điều này cho phép tác nhân độc hại có được quyền truy cập vào các bộ chứa AWS S3 chứa các bản sao lưu của khách hàng LastPass và dữ liệu vault được mã hóa, nó lưu ý thêm.
Mật khẩu của nhân viên được cho là đã bị rút bằng cách nhắm mục tiêu vào máy tính ở nhà của cá nhân và tận dụng “gói phần mềm phương tiện bên thứ ba dễ bị tổn thương” để thực thi mã từ xa và cài đặt phần mềm keylogger.
LastPass cho biết: “Kẻ đe dọa đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đó xác thực bằng MFA và có quyền truy cập vào kho tiền công ty LastPass của kỹ sư DevOps”.
LastPass không tiết lộ tên của phần mềm phương tiện bên thứ ba được sử dụng, nhưng các dấu hiệu cho thấy đó có thể là Plex dựa trên thực tế là nó đã bị vi phạm vào cuối tháng 8 năm 2022.
Sau sự cố, LastPass cho biết họ đã nâng cấp tình trạng bảo mật của mình bằng cách luân phiên các thông tin xác thực quan trọng và đặc quyền cao, đồng thời cấp lại các chứng chỉ mà tác nhân đe dọa có được, đồng thời áp dụng các biện pháp tăng cường bổ sung S3 để đưa vào cơ chế ghi nhật ký và cảnh báo.
Người dùng LastPass được khuyến nghị thay đổi mật khẩu chính và tất cả mật khẩu được lưu trữ trong kho của họ để giảm thiểu rủi ro tiềm ẩn, nếu chưa thực hiện.
