LastPass on raportoinut, että DevOps-insinöörin kotitietokone vaarantui salasanavaraston tietojen varastamiseksi elokuun 2022 tietomurron aikana.
LastPass menetti Holvin tiedot vuoden 2022 rikkomuksessa
Salasanojen hallinta LastPass on paljastanut lisätietoja elokuussa 2022 tapahtuneesta tietomurrosta, jonka mukaan DevOps-insinöörin kotitietokone hakkeroitiin salasanavaraston tietojen varastamiseksi.
LastPass julkaisi 27.2.2023 tietoturvavaroituksen elokuussa 2022 tapahtuneesta tietoturvaloukkauksesta. LastPass ilmoitti jo lukijoille, että hyökkäyksen yhteydessä päästiin asiakastietovarastoihin toinen hyökkäys tapahtuu marraskuussa 2022 joka oli linkitetty ensimmäiseen. Ensimmäisestä osumasta myös 53 000 dollaria Bitcoinia varastettiin, josta nostettiin ryhmäkanne.
Vuonna LastPass-tietoturvatiedote, kirjoitettiin, että elokuun 2022 hyökkäyksen aikana ilkeä operaattori pystyi "hyödyntämään vanhemmalta DevOps-insinööriltä varastettuja kelvollisia valtuustietoja päästäkseen käsiksi jaettu pilvitallennusympäristö, mikä vaikeutti aluksi tutkijoiden erottamista uhkatekijöiden toiminnan ja jatkuvan laillisen toiminnan välillä."
DevOps-insinöörillä oli pääsy salauksenpurkuavaimiin, mikä teki niistä hyökkääjän ensisijaisen kohteen. Nämä avaimet mahdollistivat pääsyn LastPassin pilvitallennuspalveluihin, jotka sisältävät LastPass-asiakastietoja ja salattuja varastotietoja. Vain neljällä LastPass DevOps -insinöörillä oli pääsy näihin avaimiin, ja vain yksi kohdistettiin onnistuneesti.
LastPass totesi myös, että "uhkatoimija kiihtyi ensimmäisestä tapauksesta, joka päättyi 12. elokuuta 2022, mutta oli aktiivisesti mukana uudessa sarjassa tiedustelu-, luettelointi- ja suodatustoimintoja, jotka on kohdistettu pilvitallennusympäristöön, joka ulottuu vuodesta 12. elokuuta 2022 - 26. lokakuuta 2022." Vasta kun AWS GuardDuty Alerts ilmoitti LastPassille epätavallisesta toiminnasta, ongelma ilmeni korostettu.
Ohjelmistopakettia käytettiin hyväksi kohdetietokoneen vaarantamiseen
Hakkeroidakseen DevOps-insinöörin kotitietokoneen hyökkääjä käytti hyväkseen haavoittuvaa kolmannen osapuolen ohjelmistomediapakettia. Tämän hyväksikäytön avulla hyökkääjä saattoi ottaa käyttöön ja suorittaa koodin etäsuorittamisen, mikä johti Keylogger-haittaohjelman asennukseen. Tätä näppäinloggeria käytettiin sitten varastamaan työntekijän pääsalasana ja pääsemään LastPass-yritysholviin.
Päästyään varastoon pahantahtoinen toimija vei sekä varaston merkinnät että jaetun kansion sisällön. Viedyissä tiedoissa oli salattuja suojattuja muistiinpanoja sekä LastPass-salauksenpurkuavaimet. Näitä avaimia tarvittiin "AWS S3 LastPass -tuotannon varmuuskopioiden, muiden pilvipohjaisten tallennusresurssien ja joidenkin asiaan liittyvien kriittisten tietokantavarmuuskopioiden käyttämiseen".
LastPassin käyttäjät kyseenalaistavat sen eheyden
Vaikka jotkut käyttäjät arvostavat LastPassin avoimuutta tämän tapauksen suhteen, monet ovat vihaisia yrityksen jatkuvista tietoturvaongelmista. Pettyneet käyttäjät ovat siirtyneet Twitteriin purkaakseen tunteitaan LastPassin turvallisuudesta. Kuten alla näkyy, yksi henkilö kritisoi LastPassin päätöstä myöntää tietyille työntekijöille pääsy salattuun salasanavarastoon.
LastPassin maine näyttää pilaantuneen näiden hyökkäysten keskellä
Törmättyään lukuisiin tietoturvaongelmiin viime vuosina, ihmiset kyseenalaistavat nyt, onko LastPass laillinen vaihtoehto salasanan tallentamiseen. Koska jotkut käyttäjät ovat jo jättäneet LastPassin taakseen, ei voi tietää, kuinka tämä salasananhallinta kestää tämän myrskyn.
