LastPass mengungkapkan lebih banyak informasi tentang “serangan kedua terkoordinasi”, di mana pelaku ancaman mengakses dan mencuri data dari server penyimpanan cloud Amazon AWS selama lebih dari dua bulan.
LastPass mengungkapkan pelanggaran pada bulan Desember di mana pelaku ancaman mencuri sebagian data brankas kata sandi dan informasi pelanggan.
Perusahaan sekarang telah mengungkapkan bagaimana pelaku ancaman melakukan serangan ini, dengan menyatakan bahwa mereka menggunakannya informasi yang dicuri dalam pelanggaran Agustusinformasi dari pelanggaran data lain, dan kerentanan eksekusi kode jarak jauh untuk memasang keylogger di komputer insinyur DevOps senior.
LastPass mengatakan serangan terkoordinasi kedua ini menggunakan data yang dicuri dari pelanggaran pertama untuk mendapatkan akses ke bucket Amazon S3 terenkripsi milik perusahaan.
Karena hanya empat insinyur LastPass DevOps yang memiliki akses ke kunci dekripsi ini, pelaku ancaman menargetkan salah satu insinyur. Pada akhirnya, peretas berhasil memasang keylogger di perangkat karyawan dengan mengeksploitasi kerentanan eksekusi kode jarak jauh dalam paket perangkat lunak media pihak ketiga.
“Aktor ancaman dapat menangkap kata sandi utama karyawan saat dimasukkan, setelah karyawan tersebut diautentikasi dengan MFA, dan mendapatkan akses ke brankas perusahaan LastPass milik insinyur DevOps,” membaca a penasehat keamanan baru diterbitkan hari ini.
“Aktor ancaman kemudian mengekspor entri kubah perusahaan asli dan konten folder bersama, yang berisi catatan aman terenkripsi dengan kunci akses dan dekripsi yang diperlukan untuk mengakses cadangan produksi AWS S3 LastPass, sumber daya penyimpanan berbasis cloud lainnya, dan beberapa cadangan database penting terkait .”
Penggunaan kredensial yang valid mempersulit penyelidik perusahaan untuk mendeteksi aktivitas aktor ancaman, memungkinkan peretas untuk mengakses dan mencuri data dari server penyimpanan cloud LastPass selama lebih dari dua bulan, antara 12 Agustus 2022 hingga 26 Oktober 2022.
LastPass akhirnya mendeteksi perilaku anomali melalui AWS GuardDuty Alerts saat pelaku ancaman mencoba menggunakan peran Cloud Identity and Access Management (IAM) untuk melakukan aktivitas tidak sah.
Perusahaan mengatakan mereka telah memperbarui postur keamanan mereka, termasuk merotasi kredensial sensitif dan kunci/token otentikasi, mencabut sertifikat, menambahkan pencatatan dan peringatan tambahan, dan menegakkan kebijakan keamanan yang lebih ketat.
Sejumlah besar data telah diakses
Sebagai bagian dari pengungkapan hari ini, LastPass telah merilis informasi lebih rinci tentang informasi pelanggan yang dicuri dalam serangan itu.
Bergantung pada pelanggan tertentu, data ini sangat luas dan beragam, mulai dari benih Multifactor Authentication (MFA), rahasia integrasi API MFA, dan Kunci komponen pengetahuan (“K2”) Split untuk pelanggan bisnis Federasi.
Daftar lengkap data yang dicuri ada di bawah, dengan bagan yang lebih detail dan mudah dibaca di halaman dukungan.
Rangkuman data yang diakses pada Insiden 1:
On-demand, pengembangan berbasis cloud dan repositori kode sumber – ini termasuk 14 dari 200 repositori perangkat lunak.
Skrip internal dari repositori – ini berisi rahasia dan sertifikat LastPass.
- Dokumentasi internal – informasi teknis yang menggambarkan bagaimana lingkungan pengembangan beroperasi.
Rangkuman data yang diakses di Insiden 2:
Rahasia DevOps – rahasia terbatas yang digunakan untuk mendapatkan akses ke penyimpanan cadangan berbasis cloud kami.
Penyimpanan cadangan berbasis cloud – berisi data konfigurasi, rahasia API, rahasia integrasi pihak ketiga, metadata pelanggan, dan cadangan semua data brankas pelanggan. Semua data brankas pelanggan yang sensitif, selain URL, jalur file ke perangkat lunak LastPass Windows atau macOS yang diinstal, dan kasus penggunaan tertentu yang melibatkan alamat email, dienkripsi menggunakan model pengetahuan Nol kami dan hanya dapat didekripsi dengan kunci enkripsi unik yang berasal dari kata sandi utama setiap pengguna . Sebagai pengingat, kata sandi master pengguna akhir tidak pernah diketahui oleh LastPass dan tidak disimpan atau dikelola oleh LastPass – oleh karena itu, kata sandi tersebut tidak disertakan dalam data yang dieksfiltrasi.
Cadangan Basis Data MFA/Federasi LastPass – berisi salinan benih Authenticator LastPass, nomor telepon yang digunakan untuk opsi cadangan MFA (jika diaktifkan), serta komponen pengetahuan terpisah (“kunci” K2 yang digunakan untuk federasi LastPass (jika diaktifkan). Basis data ini dienkripsi, tetapi kunci dekripsi yang disimpan secara terpisah disertakan dalam rahasia yang dicuri oleh pelaku ancaman selama insiden kedua.
Semua buletin dukungan hari ini tidak mudah ditemukan, tidak ada satupun yang terdaftar di mesin pencari, seperti yang ditambahkan perusahaan <meta name="robots" content="noindex"> Tag HTML ke dokumen untuk mencegahnya diindeks oleh mesin telusur.
LastPass juga merilis PDF berjudul “Tindakan apa yang harus Anda ambil untuk melindungi diri sendiri atau bisnis Anda,” yang berisi langkah lebih lanjut yang dapat dilakukan pelanggan untuk melindungi lingkungan mereka.
