O LastPass relatou que o computador doméstico de um engenheiro de DevOps foi comprometido para roubar dados do cofre de senhas durante a violação de dados de agosto de 2022.
LastPass perdeu dados do cofre na violação de 2022
O gerenciador de senhas LastPass revelou mais informações sobre sua violação de dados em agosto de 2022, afirmando que o computador doméstico de um engenheiro de DevOps foi hackeado para roubar dados do cofre de senhas.
Em 27 de fevereiro de 2023, o LastPass divulgou um aviso de segurança sobre a violação de dados sofrida em agosto de 2022. O LastPass já informou aos leitores que os cofres de dados dos clientes foram acessados no ataque, com outro ataque ocorrendo em novembro de 2022 que estava ligado ao primeiro. Desde o golpe inicial, $ 53.000 em Bitcoin também foram supostamente roubados, dos quais uma ação coletiva foi movida.
No Aviso de segurança do LastPass, foi escrito que, durante o ataque de agosto de 2022, o operador malicioso conseguiu "alavancar credenciais válidas roubadas de um engenheiro sênior de DevOps para acessar um ambiente compartilhado de armazenamento em nuvem, que inicialmente dificultou para os investigadores diferenciar entre a atividade do agente de ameaças e a atividade legítima contínua”.
O engenheiro DevOps tinha acesso às chaves de descriptografia, o que os tornava o alvo principal do invasor. Essas chaves permitiram o acesso aos serviços de armazenamento em nuvem do LastPass, que contêm dados do cliente LastPass e dados criptografados do cofre. Apenas quatro engenheiros do LastPass DevOps tiveram acesso a essas chaves, com apenas um sendo direcionado com sucesso.
O LastPass também afirmou que "o agente da ameaça girou desde o primeiro incidente, que terminou em 12 de agosto de 2022, mas estava ativamente envolvido em uma nova série de atividades de reconhecimento, enumeração e exfiltração alinhadas ao ambiente de armazenamento em nuvem, abrangendo desde 12 de agosto de 2022 a 26 de outubro de 2022." Somente depois que o AWS GuardDuty Alerts notificou o LastPass sobre atividades incomuns que o problema foi destacado.
Um pacote de software foi explorado para comprometer o PC visado
Para invadir o computador doméstico do engenheiro de DevOps, o invasor explorou um pacote de mídia de software de terceiros vulnerável. Por meio dessa exploração, o invasor pode habilitar e conduzir a execução remota de código, o que levou à instalação do malware keylogger. Esse keylogger foi usado para roubar a senha mestra do funcionário e acessar o cofre corporativo do LastPass.
Depois de acessar o cofre, o agente mal-intencionado exportou as entradas do cofre e o conteúdo da pasta compartilhada. Dentro dos dados exportados foram criptografadas notas seguras, bem como Chaves de descriptografia do LastPass. Essas chaves eram necessárias para "acessar os backups de produção AWS S3 LastPass, outros recursos de armazenamento baseados em nuvem e alguns backups de banco de dados críticos relacionados".
LastPass tem usuários questionando sua integridade
Enquanto alguns usuários apreciam a transparência do LastPass em relação a este incidente, muitos estão irritados com os contínuos problemas de segurança sofridos pela empresa. Usuários consternados foram ao Twitter para expressar seus sentimentos sobre a integridade da segurança do LastPass. Como visto abaixo, um indivíduo criticou a decisão do LastPass de conceder a certos funcionários acesso a um cofre de senha descriptografada.
A reputação do LastPass parece manchada em meio a esses ataques
Depois de enfrentar vários problemas de segurança nos últimos anos, as pessoas agora questionam se o LastPass é uma opção legítima para armazenamento de senhas. Com alguns usuários já deixando o LastPass para trás, não há como saber como esse gerenciador de senhas resistirá a essa tempestade.