Η LastPass εξέδωσε νέα ενημέρωση σχετικά με την έρευνα που διεξάγει για δύο περιστατικά παραβίασης ασφαλείας που συνέβησαν πέρυσι και τελικά φαίνονται πια σοβαρά από ό,τι νομίζαμε. Φαίνεται ότι οι χακερς που εμπλέκονταν σε αυτά τα περιστατικά διείσδυσαν επίσης σε υπολογιστή στο σπίτι ενός μηχανικού μιας εταιρείας που συνεργάζεται με την LastPass. Ενσωμάτωσαν ένα keylogger στο λογισμικό, το οποίο χρησιμοποίησαν για να καταγράψουν τον κύριο κωδικό πρόσβασης του μηχανικού για ένα λογαριασμό με πρόσβαση στο κεντρικό αποθετήριο κωδικών της LastPass. Μετά την είσοδό τους, εξήγαγαν τις καταχωρίσεις και τους κοινόχρηστους φακέλους του αποθετηρίου που περιείχαν τα κλειδιά αποκρυπτογράφησης που απαιτούνται για το ξεκλείδωμα των βάσεων δεδομένων που χρησιμοποίει η εταιρεία για να κρατάει αντίγραφα ασφαλείας δεδομένων των χρηστών.
Αυτή η τελευταία ενημέρωση στην έρευνα της LastPass μας δίνει μια πιο σαφή εικόνα του πώς σχετίζονται τα δύο περιστατικά παραβίασης ασφαλείας που έγιναν πέρυσι. Αν θυμάστε, η LastPass αποκάλυψε τον Αύγουστο του 2022 ότι μια “μη εξουσιοδοτημένη οντότητα” είχε εισέλθει στο σύστημά της. Ενώ το πρώτο περιστατικό ολοκληρώθηκε στις 12 Αυγούστου, η εταιρεία ανέφερε στη νέα ανακοίνωσή της ότι οι απειλητικοί παράγοντες ήταν “ενεργά απασχολημένοι σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, ενημέρωσης και εξαγωγής που συνδέονται με το περιβάλλον αποθήκευσης cloud από τις 12 Αυγούστου 2022 έως τις 26 Οκτωβρίου 2022.”
Όταν η εταιρεία ανακοίνωσε τη δεύτερη παραβίαση ασφαλείας τον Δεκέμβριο, ανέφερε ότι οι χακερς χρησιμοποίησαν πληροφορίες που απέκτησαν από το πρώτο περιστατικό για να μπουν στην cloud υπηρεσία τους. Επίσης, παραδέχτηκε ότι οι χάκερς απέσπασαν μια σειρά ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των “καδων” δεδομένων από το S3 της Amazon. Για να μπορέσουν να έχουν πρόσβαση στα δεδομένα που απαιτούνταν στους κάδους αυτούς, οι χάκερς χρειάστηκαν κλειδιά αποκρυπτογράφησης που αποθηκεύονταν σε “ένα υψηλά περιορισμένο σύνολο κοινόχρηστων φακέλων σε ένα αποθετήριο της LastPass” που έχουν ελάχιστοι πρόσβαση. Για αυτό το λόγο, οι χακερς διείσδυσαν σε έναν από τους τέσσερις μηχανικούς που είχαν πρόσβαση στα κλειδιά που απαιτούνται για το ξεκλείδωμα του cloud storage της εταιρείας.
Σε ένα έγγραφο που κυκλοφόρησε η εταιρεία (μέσω του BleepingComputer), περιγράφονται τα δεδομένα που είχαν πρόσβαση οι χάκερς κατά τα δύο περιστατικά. Φαίνεται ότι τα αντίγραφα ασφαλείας στο cloud που είχαν πρόσβαση κατά τη δεύτερη παραβίαση περιλάμβαναν “APIs, third-party integration secret, μεταδεδομένα πελατών και αντίγραφα ασφαλείας όλων των δεδομένων από κωδικούς πελατών”. Η εταιρεία επέμεινε ότι όλα τα ευαίσθητα δεδομένα των αποθηκευμένων κωδικών των πελατών, εκτός από κάποιες εξαιρέσεις, “μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη”. Η εταιρεία πρόσθεσε ότι δεν αποθηκεύει τους κύριους κωδικούς πρόσβασης των χρηστών. Η LastPass αναλύει επίσης τα μέτρα που έχει λάβει για να ενισχύσει την ασφάλειά της στο μέλλον, συμπεριλαμβανομένης της αναθεώρησης των μηχανισμών ανίχνευσης απειλών και της κατανομής “εκατομμυρίων δολαρίων για την ενίσχυση των επενδύσεων στην ασφάλεια σε ό,τι αφορά τους ανθρώπους, τις διαδικασίες και την τεχνολογία”.