Wyciek z LastPass – brakujące aktualizacje

Atak na Managera Haseł

W sierpniu 2022 roku LastPass poinformował swoich użytkowników o włamaniu do własnej infrastruktury IT. Komunikat firmy mówi o przejęciu konta jednego z developerów w wyniku czego przejęto kod źródłowy menadżera haseł:

"Ustaliliśmy, że nieautoryzowana strona uzyskała dostęp do części środowiska programistycznego LastPass za pośrednictwem jednego przejętego konta deweloperskiego i pobrała porcje kodu źródłowego"

Jednocześnie firma zapewniała, że dane klientów nie zostały wykradzione w wyniku tego włamania. Ponadto przypomniano że hasła użytkowników są dodatkowo szyfrowane i w myśli zasady Zero Trust Knowledge nie znane nawet administratorom LastPassa. Nie są znane, ponieważ są zabezpieczone hasłem ustalanym przez użytkownika programu, to z kolei nie jest przechowywane na serwerach LastPass.

Niestety na tym się nie skończyło na początku 2023 roku, firma poinformowała o drugim ataku. Tym razem informując o incydencie bezpieczeństwa związanym z poprzednim naruszeniem środowiska programistycznego, firma przekazuje:

Cyberprzestępcy wykorzystali informacje skradzione podczas pierwszego incydentu, informacje dostępne w wyniku naruszenia danych przez stronę trzecią oraz lukę w pakiecie oprogramowania multimedialnego strony trzeciej w celu przeprowadzenia skoordynowanego drugiego ataku".

Co tak naprawdę zostało wykradzione z LastPass?

Bardzo dużo informacji na temat klientów.

Affected User TypeCustomer SecretDescription
Consumers & Business Customers (non-federated)Multifactor Authentication (MFA) seedsMFA seeds assigned to the user when they first registered their multifactor authenticator of choice to authenticate to the LastPass vault.
Hashes of temporary (One-Time) Passwords (OTP) and account Recovery One-Time Passwords (rOTP)Hashes of customer generated OTP and/or account rOTP. Out of an abundance of caution, LastPass proactively invalidated these hashes.
Business Customers (Federated only)Split knowledge component (“K2”) KeyK2 keys stored within LastPass are combined with K1 keys stored within the customer’s identity provider (IdP) for configuration of a federated login deployment. This split knowledge model was chosen to defend against this specific situation. A threat actor would need access to both the K1 and K2 components to attempt to decrypt an offline vault. The security settings of third-party IdP factor directly into the availability and security of the K1 components.
Business Customers (non-federated)MFA API integration secretsSecrets used to integrate third-party MFA vendors (e.g., Duo Security, RSA SecurID, SecureAuth) with LastPass.
Business Customers (non-federated)Time-based One-time Password (TOTP) seedsSeeds used to generate TOTP authentication codes for Google Authenticator, Microsoft Authenticator, LastPass Authenticator, and Grid.
Business CustomersSplunk Security Information & Event Management (SIEM) integration secretsSecrets used to enable LastPass event logs to be sent to a customer’s Splunk instance, providing auditing/monitoring of LastPass events.
Business Customers“Push” site credentialsCredentials that may have been “pushed” to a LastPass user or group by a LastPass Business Administrator.
Business CustomersSCIM, Enterprise API and SAML KeysAPI keys used by LastPass Business administrators and users to integrate with third-party directory services, manage and provision/de-provision users and make use of single sign-on (SSO). Users of these keys were previously contacted by LastPass in December 2022 with specific remediation instructions to reset them.
Wykradzione dane

Przestępcy byli w stanie także skopiować pięć plików baz danych Binary Large Objects (BLOBs), które były datowane na: 20 sierpnia 2022, 30 sierpnia 2022, 31 sierpnia 2022, 8 września 2022 oraz 16 września 2022. Bazy danych zawierały zaszyfrowane, wrażliwe dane użytkowników.  Miało to miejsce pomiędzy 8 a 22 września 2022 roku. Konta LastPass utworzone po tych datach nie są dotknięte problemem.

Zobacz:  Atak na klientów Pekao.

Pełne informacje na temat wykradzionych danych dostępne są na stronie związanej z atakami na LastPass.

Druga faza ataku na LastPass

Jak się okazuje, włamanie LastPass mogło zostać powstrzymane, a przynajmniej opóźnione, gdyby pracownik firmy zaktualizował oprogramowanie na swoim domowym komputerze. Przestępcy dokonując pierwotnego włamania pozyskali informacje, które pozwoliło im zaatakować złośliwym oprogramowaniem komputer domowym pracownika LastPass. Instalując na nim oprogramowanie typu KeyLogger pozoliło im na przechwytywanie naciśnięć klawiszy na zinfekowanej maszynie.

Według informacji PCMag przestępcy wykorzystali lukę w oprogramowaniu Plex Media Server, aby włamać się na domowy komputer pracownika LastPass. Co ciekawe, wykorzystana luka nie była niczym nowym. Dostawca oprogramowania firma Plex informowała, że luka (CVE-2020-5741) ma prawie trzy lata i została naprawiona dawno temu. Brak zainstalowania odpowiedniej aktualizacji doprowadził do poważnych problemów nie tylko pracownika LastPass ale też wszystkich użytkowników tego popularnego managera haseł.

Źródło: https://thehackernews.com/2023/03/lastpass-hack-engineers-failure-to.html

4.6/5 - (Głosów: 5)

Inne wpisy

Odwiedź nasze media społecznościowe

11,100FaniLubię
243ObserwującyObserwuj
149SubskrybującySubskrybuj

Ostatnie artykuły

× Chat