Компания LastPass сообщила, что хакеры похитили мастер-пароль, который использовали для доступа к корпоративным базам данных и информации строго ограниченного доступа, с домашнего компьютера старшего инженера.
Разработчики менеджера паролей впервые сообщили о том, что подверглись хакерской атаке в августе прошлого года, когда заявили, что злоумышленники получили доступ к среде разработки, забрав части исходного кода LastPass и некоторую служебную техническую информацию.
В то время LastPass заявила, что нет никаких доказательств того, что злоумышленники получили доступ к данным клиентов или чувствительным зашифрованным хранилищам.
Но все изменилось в декабре прошлого года, когда LastPass сообщила, что хакеры похитили данные хранилища, содержащие как зашифрованные, так и незашифрованные данные, включая информацию о клиентах.
Теперь разработчики заявили, что злоумышленники использовали информацию, похищенную во время первой атаки - наряду с информацией, похищенной в результате других взломов и использования уязвимости в системе кибербезопасности - для второй атаки.
Эта атака была направлена на одного из четырех старших инженеров DevOps, которые имели необходимую аутентификацию высокого уровня безопасности, необходимую для использования ключей дешифровки, необходимых для доступа к облачному хранилищу, и злоумышленники использовали для этого домашний компьютер жертвы.
Точные подробности того, как произошла атака, не раскрываются, но LastPass сообщила, что домашний компьютер инженера DevOps был атакован злоумышленниками, использовавшими «уязвимый пакет программного обеспечения сторонних производителей», что позволило злоумышленникам получить привилегии, необходимые для удаленного выполнения кода.
Эта тактика дала злоумышленникам возможность установить на домашний компьютер кейлоггер, позволяющий следить за тем, что сотрудник набирает на своем компьютере. Воспользовавшись этой информацией, злоумышленники похитили мастер-пароль, чтобы получить доступ к корпоративному хранилищу.
Согласно LastPass, этот доступ позволил злоумышленникам войти в различные общие экземпляры, «которые содержали зашифрованные защищенные записи с ключами доступа и расшифровки, необходимыми для доступа к резервным копиям LastPass в AWS S3, другим облачным ресурсам хранения и некоторым критическим резервным копиям баз данных».
После инцидента LastPass заявила, что «помогла DevOps-инженеру усилить безопасность его домашней сети и личных ресурсов».
LastPass усовершенствовал свою многофакторную аутентификацию (MFA), применив MFA с условным доступом по PIN-соответствию от Microsoft, и компания теперь чередует критически важные и высокопривилегированные пароли, которые были известны злоумышленникам, чтобы снизить вероятность нового взлома.
Компания также изучает, как нарушение потенциально повлияло на клиентов.
«В настоящее время ведется ряд дополнительных работ по обеспечению безопасности наших клиентов, которые могут потребовать от них выполнения определенных действий» - заявили в Lastpass.
Пользователям и клиентам LastPass рекомендуется сменить мастер-пароль. Этот пароль не должен использоваться для защиты других учетных записей. Также рекомендуется применить MFA к учетной записи, чтобы уменьшить вероятность доступа к ней.
Источник: https://www.zdnet.com
