LastPass-ügy: egy DevOps-mérnököt céloztak meg a támadók

További információkat osztott meg a LastPass a tavalyi „koordinált második incidensről", melynek során az illetéktelen behatolónak több mint két hónapig volt hozzáférése az Amazon AWS felhőtároló szerverekhez, ahonnan adatokat sikerült lopni. A jelszókezelő szolgáltatás tavaly decemberben közölte, hogy az eset során titkosított jelszótároló adatokat és ügyféladatokat sikerült megszerezni az elkövetőknek, egy dolgozón keresztül.

Mint kiderült: a támadók korábban megszerzett adatszivárgásokból származó információkat is hasznosítottak ahhoz, hogy egy távoli kódfuttatást lehetővé tevő biztonsági rést kihasználva keyloggert telepítsenek a LastPass egyik senior DevOps-fejlesztő munkatársának otthoni számítógépére. A betörést részben az első, a céget augusztusban ért incidensre lehet visszavezetni - akkor fontos kódrészleteket és technológiai háttérinformációkat loptak el a LastPass fejlesztői részlegétől.

Mivel a visszafejtéshez szükséges kulcsokhoz csak négy mérnöknek volt hozzáférése, az elkövetőnek rendkívül célzottan kellett kiválasztania, kit szemel ki, a keylogger telepítését lehetővé tevő sérülékenységet pedig egy külső féltől származó médiaszoftver-csomag kínálta kihasználásra. A kiberbűnöző ilyen módon rögzíteni tudta az alkalmazott mesterjelszavát a begépelés során, és miután az hitelesítette magát, hozzáférhetett a DevOps-mérnök számára látható vállalati tárolókhoz.

A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.

Ezután exportáltálhatóvá váltak a natív tárolóbejegyzések és a megosztott mappák, amelyek tartalmazták a biztonsági másolatok eléréséhez szükséges hozzáférési és visszafejtési kulcsokat, illetve a felhőalapú tárolási erőforrásokhoz és néhány kapcsolódó kritikus adatbázis-biztonsági mentés eléréséhez szükséges információkat is.

Az érvényes hitelesítő adatok használata megnehezítette a külső fél tevékenységének észlelését, így a hacker több mint két hónapig, 2022. augusztus 12. és 2022. október 26. között férhetett hozzá és lophatott adatokat a LastPass felhőalapú tárolószervereiről. A szolgáltatás végül az AWS GuardDuty Alerts segítségével észlelte a rendellenes viselkedést, amikor az elkövető a Cloud Identity and Access Management (IAM) szerepköröket próbálta meg jogosulatlan tevékenység végrehajtására használni.

A vállalat tájékoztatása szerint azóta frissítették biztonsági rendszerüket, és további intézkedéseket eszközöltek, beleértve az érzékeny hitelesítő adatok és hitelesítési kulcsok/tokenek forgatását, a tanúsítványok visszavonását, további naplózások és riasztások, valamint szigorúbb biztonsági szabályzatok bevezetését.

A LastPass egyben részletesebb információkkal tud már szolgálni arról is, hogy pontosan milyen ügyféladatokat sikerült ellopni, ami ügyféltől függően eltérően alakul, említhetőek köztük többtényezős hitelesítési (MFA) információk, API-integrációs titkok, ezekről részletesen az alábbi bejegyzésben lehet tájékozódni.

A LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van. A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat. A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.