LastPass, bir tehdit aktörünün, bir çalışanın kişisel bilgisayarını hackleyerek ve keylogger kötü amaçlı yazılımı yükleyerek şirketin bulut depolama alanına erişmelerini sağlayan kurumsal ve müşteri verilerini çalabildiğini söylüyor. Güncelleme geçen yıl gerçekleşen ve popüler parola yöneticisinin kaynak kodunun ve müşteri kasası verilerinin yetkisiz bir üçüncü tarafça çalınmasıyla sonuçlanan bir dizi saldırı hakkında daha fazla bilgi sağlar.
Geçen Ağustos ayında LastPass, kullanıcılarına, yetkisiz bir üçüncü tarafın şifre yöneticisinin kaynak koduna ve “bazı özel LastPass teknik bilgilerine” erişmek için güvenliği ihlal edilmiş bir geliştirici hesabı kullandığı bir “güvenlik olayı” hakkında bilgi verdi. Şirket daha sonra Kasım ayında ikinci bir güvenlik ihlalini açıkladı ve bilgisayar korsanlarının parola yöneticisi tarafından kullanılan üçüncü taraf bir bulut depolama hizmetine eriştiklerini ve “müşteri bilgilerinin” “belirli öğelerine” erişebildiklerini duyurdu.
22 Aralık’ta LastPass, bilgisayar korsanlarının Kasım ayındaki ikinci olay sırasında sistemlerine erişmek için Ağustos’taki ilk ihlalden gelen bilgileri kullandıklarını ve saldırganın web sitesi URL’leri, kullanıcı adları, ve şifreler. LastPass daha sonra, şifrelerin hâlâ hesabın ana şifresi tarafından korunduğunu belirtmesine rağmen, “ekstra bir güvenlik önlemi” olarak kullanıcılarına depolanan tüm şifrelerini değiştirmelerini tavsiye etti.
Şimdi, LastPass, her iki güvenlik ihlalinden sorumlu olan tehdit aktörünün 12 Ağustos ile 26 Ekim arasında “yeni bir dizi keşif, sayım ve sızma faaliyetinde aktif olarak yer aldığını” ortaya çıkardı. Bu süre zarfında saldırgan, Amazon S3 klasörlerinde depolanan müşteri kasası yedeklemeleri için şifreleme anahtarlarını içeren paylaşılan bulut depolama alanına erişim elde etmek için kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çaldı. Bu çalınan kimlik bilgilerinin kullanılması, yasal ve şüpheli faaliyetler arasında ayrım yapmayı zorlaştırdı.
Bilgisayar korsanının makinede yüklü Plex medya yazılımı aracılığıyla özel bilgisayara eriştiğinden şüpheleniliyor.
Yalnızca dört DevOps mühendisi, bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişebildi. Mühendislerden biri, ev bilgisayarlarında (açıklanmayan) savunmasız bir üçüncü taraf medya yazılım paketinden yararlanarak ve keylogger kötü amaçlı yazılımı yükleyerek hedef alındı. Ars Teknik raporlar Bilgisayarın muhtemelen, LastPass’in Ağustos ayındaki ilk olayını açıklamasından kısa bir süre sonra benzer şekilde bir veri ihlali bildiren Plex medya platformu aracılığıyla saldırıya uğradığı. Hiçbir şirket bunun böyle olduğunu doğrulamadı. Açıklama için LastPass ve Plex’e ulaştık ve yanıt alırsak bu hikayeyi güncelleyeceğiz.
LastPass, keylogger’ı yükledikten sonra, tehdit aktörünün “çalışanın ana parolasını, çalışan [multifactor authentication]ve DevOps mühendisinin LastPass şirket kasasına erişim elde edin.” Şirket o zamandan beri, tehdit aktörü tarafından bilinen sertifikaları ve dönüşümlü kimlik bilgilerini iptal etmek ve bulut depolamasında ek günlük kaydı ve uyarı uygulamak dahil olmak üzere platformunu güvence altına almak için ek adımlar attı.
Duyurunun yanı sıra LastPass, her iki güvenlik ihlalinde de ele geçirilen verilerin tam bir listesini yayınladı. özel destek sayfası. BleepingBilgisayar raporlar LastPass’in bu bilgileri gizlemek için çaba sarf ettiğini, ancak güncellemelerin arama motorları tarafından dizine eklenmesini önlemek için belgeye HTML etiketlerinin eklendiğini kaydetti. LastPass ayrıca bir PDF yayınladı geçen yılki olaylarla ilgili daha fazla ayrıntının yanı sıra iki ek güvenlik bülteni içerir – biri şu kişiler içindir: LastPass Ücretsiz, Premium ve Aileler müşterileri ve diğeri için işletme yöneticileri — hesaplarınızı güvenceye almak için önerilen işlemlerle birlikte.
