Aralık 2022’de tehdit aktörlerinin şifreli şifre kasalarına erişmesine izin veren ciddi bir veri ihlalini ifşa eden LastPass, bunun aynı saldırganın sistemlerine ikinci bir saldırı başlatması sonucunda meydana geldiğini söyledi.
Şirket, DevOps mühendislerinden birinin kişisel ev bilgisayarına, Amazon AWS bulut depolama sunucularından hassas verileri sızdıran sürekli bir siber saldırının parçası olarak bir keylogger bulaştırdığını söyledi.
Parola yönetimi hizmeti, “Tehdit aktörü, koordineli bir ikinci saldırı başlatmak için ilk olay sırasında çalınan bilgilerden, üçüncü taraf bir veri ihlalinden elde edilen bilgilerden ve üçüncü taraf medya yazılım paketindeki bir güvenlik açığından yararlandı.” söz konusu.
Bu izinsiz giriş, 12 Ağustos 2022’den 26 Ekim 2022’ye kadar şirketin altyapısını, kaynaklarını ve adı geçen çalışanı hedef aldı. İlk olay ise 12 Ağustos 2022’de sona erdi.
Ağustos ayı ihlali, davetsiz misafirlerin güvenliği ihlal edilmiş tek bir çalışan hesabı aracılığıyla geliştirme ortamından kaynak koduna ve özel teknik bilgilere eriştiğini gördü.
Aralık 2022’de LastPass, tehdit aktörünün çalınan bilgileri bulut tabanlı bir depolama ortamına erişmek ve “müşterilerimizin bilgilerinin belirli öğelerini” ele geçirmek için kullandığını ortaya çıkardı.
Aynı ayın ilerleyen saatlerinde, bilinmeyen saldırganın, 256 bit AES şifreleme kullanılarak korunduğunu söylediği müşteri kasası verilerinin bir yedeğine erişim elde ettiği açıklandı. Yedeklemenin ne kadar yeni olduğunu açıklamadı.
LastPass’ın ana şirketi olan GoTo da geçen ay üçüncü taraf bulut depolama hizmetine yetkisiz erişimden kaynaklanan bir ihlal olduğunu iddia etti.
Şimdi şirkete göre, tehdit aktörü, Ağustos ve Ekim 2022 arasında bulut depolama hizmetini hedefleyen yeni bir dizi “keşif, sayım ve sızma faaliyetleri” gerçekleştirdi.
LastPass, “Özellikle tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerinden yararlanabildi,” dedi ve mühendisin “bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişimi olduğunu” da sözlerine ekledi.
Bu, kötü niyetli aktörün LastPass müşterisinin yedeklerini ve şifrelenmiş kasa verilerini barındıran AWS S3 klasörlerine erişim elde etmesine izin verdi.
Çalışanın şifrelerinin, kişinin ev bilgisayarını hedefleyerek ve uzaktan kod yürütmeyi başarmak ve bir keylogger yazılımı yerleştirmek için “savunmasız bir üçüncü taraf medya yazılım paketi” kullanılarak ele geçirildiği söyleniyor.
LastPass, “Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı” dedi.
LastPass, kullanılan üçüncü taraf medya yazılımının adını açıklamadı, ancak bunun Plex olabileceğine dair göstergeler var. temelli olduğu gerçeği üzerine kendi başına bir ihlal yaşadı Ağustos 2022’nin sonlarında.
Olayın ardından LastPass, kritik ve yüksek ayrıcalıklı kimlik bilgilerini değiştirerek ve tehdit aktörü tarafından alınan sertifikaları yeniden yayınlayarak güvenlik duruşunu yükselttiğini ve günlük kaydı ve uyarı mekanizmalarını devreye sokmak için ekstra S3 güçlendirme önlemleri uyguladığını söyledi.
LastPass kullanıcılarının, henüz yapmamışlarsa, potansiyel riskleri azaltmak için ana parolalarını ve kasalarında depolanan tüm parolaları değiştirmeleri önemle tavsiye edilir.
Güncelleme
Plex, haberin yayınlanmasının ardından The Hacker News ile şu açıklamayı paylaştı:
LastPass bizimle iletişime geçmedi, bu nedenle yaşadıkları olayın ayrıntıları hakkında konuşamayız. Güvenlik konularını çok ciddiye alıyoruz ve sık sık büyük veya küçük sorunları rapor eden harici taraflarla çalışıyoruz. yönergeler ve hata ödül programı. Sorumlu açıklamanın ardından güvenlik açıkları bildirildiğinde, bunları hızlı ve kapsamlı bir şekilde gideririz ve daha önce yamalanmış bir sürümünün yayınlanmadığı kritik bir güvenlik açığı yayınlamadık. Ve kendi olaylarımız olduğunda, bunları her zaman hızlı bir şekilde iletmeyi seçtik. Yama uygulanmamış herhangi bir güvenlik açığının farkında değiliz ve her zaman olduğu gibi, insanları yukarıda bağlantısı verilen yönergeleri izleyerek sorunları bize açıklamaya davet ediyoruz. LastPass olayıyla ilgili son makaleler dikkate alındığında, herhangi bir yama uygulanmamış güvenlik açığından haberdar olmasak da, emin olmak için LastPass’a ulaştık.