LastPass, doğrudan bir casus filminden fırlamış gibi görünen, sektörü sarsan Aralık ayı veri ihlali hakkında daha fazla ayrıntı paylaştı.
İçinde güvenlik danışmanlığı (yeni sekmede açılır), şifre yöneticisi görünüşte ilgisiz olan ve aslında daha büyük bir kampanyanın parçası olan iki olay olduğunu söyledi. Ayrıca, tehdit aktörlerinin özellikle dört DevOps mühendisinden birini hedef alarak tüm kampanyanın karmaşıklığını daha da vurguladığını söyledi.
LastPass soruşturması, biri Ağustos 2022’de, diğeri ise Aralık’ta tespit edilen iki olay olduğu sonucuna vardı.
S3 klasörlerine erişme
Tehdit aktörleri, şirketin şifreli bulut depolama Amazon S3 kovalarını belirlemek için ilk saldırıda elde edilen bilgilerin yanı sıra tamamen ayrı bir siber güvenlik olayından gelen bilgileri kullandı.
Ancak kovalara erişmek için yalnızca dört LastPass DevOps mühendisinin sahip olduğu şifre çözme anahtarlarına ihtiyaçları vardı. Bu nedenle, özel bilgisayarlarında yüklü bir üçüncü taraf medya yazılım paketinde bulunan bir uzaktan kod yürütme güvenlik açığının peşine düşerek bunlardan birini hedef aldılar. Bu, güvenlik korumalarını ve ardından bazılarını atlamaya yardımcı olan bir keylogger kurmalarına izin verdi.
Şirket, “Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı” dedi.
“Tehdit aktörü daha sonra, AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları içeren yerel kurumsal kasa girişlerini ve paylaşılan klasörlerin içeriğini dışa aktardı. .”
Saldırganlar geçerli oturum açma bilgileri kullandığından, şirketin siber güvenlik ekibi etkinliği kötü amaçlı olarak tanımlamadı. Sonuç olarak, tehdit aktörü iki aydır şirketin depolama sunucularında gizleniyordu.
Şimdi, bayramdan sonra, LastPass güvenlik duruşunu güncellediğini ve hassas kimlik bilgileri ile kimlik doğrulama anahtarları ve belirteçlerini döndürmeye başladığını söyledi. Ayrıca, düzenli olarak sertifikaları iptal eder, ekstra günlük kaydı ve uyarı gerektirir ve daha sıkı güvenlik politikaları uygulamaya başlar.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)