LastPass a signalé que l'ordinateur personnel d'un ingénieur DevOps avait été compromis pour voler des données de coffre-fort de mots de passe lors de la violation de données d'août 2022.
LastPass Lost Vault Data dans la violation de 2022
Le gestionnaire de mots de passe LastPass a révélé plus d'informations sur sa violation de données d'août 2022, indiquant que l'ordinateur personnel d'un ingénieur DevOps a été piraté pour voler les données du coffre-fort de mots de passe.
Le 27 février 2023, LastPass a publié un avis de sécurité concernant la violation de données subie en août 2022. LastPass a déjà informé les lecteurs que les coffres-forts de données des clients avaient été consultés lors de l'attaque, avec une autre attaque a eu lieu en novembre 2022 qui était lié au premier. Dès le coup initial, 53 000 $ en Bitcoin auraient également été volés, à partir desquels un recours collectif a été déposé.
Dans le Avis de sécurité LastPass, il a été écrit que, lors de l'attaque d'août 2022, l'opérateur malveillant a pu "exploiter des informations d'identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage en nuage partagé, ce qui a initialement rendu difficile pour les enquêteurs de faire la différence entre l'activité des acteurs menaçants et l'activité légitime en cours. »
L'ingénieur DevOps avait accès aux clés de déchiffrement, ce qui en faisait une cible de choix pour l'attaquant. Ces clés permettaient d'accéder aux services de stockage dans le cloud de LastPass, qui contiennent des données client LastPass et des données de coffre chiffrées. Seuls quatre ingénieurs LastPass DevOps avaient accès à ces clés, dont un seul a été ciblé avec succès.
LastPass a également déclaré que "l'acteur de la menace a pivoté depuis le premier incident, qui s'est terminé le 12 août 2022, mais était activement engagé dans une nouvelle série d'activités de reconnaissance, d'énumération et d'exfiltration alignées sur l'environnement de stockage en nuage allant de Du 12 août 2022 au 26 octobre 2022. » Ce n'est que lorsque AWS GuardDuty Alerts a informé LastPass d'une activité inhabituelle que le problème a été Souligné.
Un progiciel a été exploité pour compromettre le PC ciblé
Afin de pirater l'ordinateur personnel de l'ingénieur DevOps, l'attaquant a exploité un package média logiciel tiers vulnérable. Grâce à cet exploit, l'attaquant pourrait activer et effectuer l'exécution de code à distance, ce qui a conduit à l'installation d'un logiciel malveillant d'enregistreur de frappe. Cet enregistreur de frappe a ensuite été utilisé pour voler le mot de passe principal de l'employé et accéder au coffre-fort de l'entreprise LastPass.
Après avoir accédé au coffre-fort, l'acteur malveillant a exporté à la fois les entrées du coffre-fort et le contenu du dossier partagé. Dans les données exportées se trouvaient des notes sécurisées cryptées, ainsi que Clés de déchiffrement LastPass. Ces clés étaient nécessaires pour "accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage basées sur le cloud et à certaines sauvegardes de bases de données critiques associées".
LastPass a des utilisateurs qui remettent en question son intégrité
Alors que certains utilisateurs apprécient la transparence de LastPass concernant cet incident, beaucoup sont irrités par les problèmes de sécurité persistants subis par l'entreprise. Des utilisateurs consternés se sont tournés vers Twitter pour exprimer leurs sentiments sur l'intégrité de la sécurité de LastPass. Comme on le voit ci-dessous, une personne a critiqué la décision de LastPass d'accorder à certains employés l'accès à un coffre-fort de mots de passe décryptés.
La réputation de LastPass semble entachée au milieu de ces attaques
Après avoir rencontré de nombreux problèmes de sécurité ces dernières années, les gens se demandent maintenant si LastPass est une option légitime pour le stockage des mots de passe. Avec certains utilisateurs quittant déjà LastPass, on ne sait pas comment ce gestionnaire de mots de passe résistera à cette tempête.
