LastPass a révélé plus d’informations sur une « deuxième attaque coordonnée », où un acteur malveillant a accédé et volé des données sur les serveurs de stockage en nuage Amazon AWS pendant plus de deux mois.
Dernier passage révélé une infraction en décembre, où des acteurs de la menace ont volé des données de coffre-fort de mots de passe partiellement cryptées et des informations sur les shoppers.
La société a maintenant révélé remark les acteurs de la menace ont exécuté cette attaque, déclarant qu’ils ont utilisé informations volées lors d’une violation en aoûtdes informations provenant d’une autre violation de données et une vulnérabilité d’exécution de code à distance pour installer un enregistreur de frappe sur l’ordinateur d’un ingénieur DevOps senior.
LastPass indique que cette deuxième attaque coordonnée a utilisé les données volées de la première violation pour accéder aux compartiments Amazon S3 chiffrés de l’entreprise.
Comme seuls quatre ingénieurs LastPass DevOps avaient accès à ces clés de déchiffrement, l’auteur de la menace a ciblé l’un des ingénieurs. En fin de compte, les pirates ont réussi à installer un enregistreur de frappe sur l’appareil de l’employé en exploitant une vulnérabilité d’exécution de code à distance dans un progiciel multimédia tiers.
« L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé s’est authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », lit un nouvel avis de sécurité publié aujourd’hui.
« L’acteur de la menace a ensuite exporté les entrées natives du coffre-fort de l’entreprise et le contenu des dossiers partagés, qui contenaient des notes sécurisées chiffrées avec les clés d’accès et de déchiffrement nécessaires pour accéder aux sauvegardes de manufacturing AWS S3 LastPass, à d’autres ressources de stockage basées sur le cloud et à certaines sauvegardes de bases de données critiques connexes. . »
L’utilisation d’informations d’identification valides a rendu difficile pour les enquêteurs de l’entreprise de détecter l’activité de l’acteur de la menace, permettant au pirate d’accéder et de voler des données sur les serveurs de stockage en nuage de LastPass pendant plus de deux mois, entre le 12 août 2022 et le 26 octobre 2022.
LastPass a finalement détecté le comportement anormal through les alertes AWS GuardDuty lorsque l’auteur de la menace a tenté d’utiliser les rôles Cloud Id and Entry Administration (IAM) pour effectuer une activité non autorisée.
La société affirme avoir depuis mis à jour sa posture de sécurité, y compris la rotation des informations d’identification sensibles et des clés/jetons d’authentification, la révocation des certificats, l’ajout de journalisation et d’alerte supplémentaires et l’utility de politiques de sécurité plus strictes.
Une grande quantité de données a été consultée
Dans le cadre de la divulgation d’aujourd’hui, LastPass a publié des informations plus détaillées sur les informations consumer volées lors de l’attaque.
Selon le consumer particulier, ces données sont vastes et variées, allant des graines d’authentification multifactorielle (MFA), des secrets and techniques d’intégration de l’API MFA et de la clé de composant de connaissances fractionnées («K2») pour les shoppers commerciaux fédérés.
Une liste complète des données volées est ci-dessous, avec un tableau plus détaillé et plus facile à lire sur une web page de assist.
Résumé des données consultées lors de l’incident 1 :
Développement à la demande, basé sur le cloud et référentiels de code supply – cela comprenait 14 des 200 référentiels de logiciels.
Scripts internes des dépôts – ceux-ci contenaient des secrets and techniques et des certificats LastPass.
- Paperwork internes – des informations strategies décrivant le fonctionnement de l’environnement de développement.
Résumé des données consultées lors de l’incident 2 :
Secrets and techniques DevOps – secrets and techniques restreints qui ont été utilisés pour accéder à notre stockage de sauvegarde basé sur le cloud.
Stockage de sauvegarde basé sur le cloud – contenait des données de configuration, des secrets and techniques d’API, des secrets and techniques d’intégration tiers, des métadonnées consumer et des sauvegardes de toutes les données du coffre-fort consumer. Toutes les données sensibles du coffre-fort consumer, autres que les URL, les chemins d’accès aux logiciels LastPass Home windows ou macOS installés, et certains cas d’utilisation impliquant des adresses e-mail, ont été chiffrés à l’aide de notre modèle de connaissance zéro et ne peuvent être déchiffrés qu’avec une clé de chiffrement distinctive dérivée du maître de chaque utilisateur. mot de passe. Pour rappel, les mots de passe principaux des utilisateurs finaux ne sont jamais connus de LastPass et ne sont ni stockés ni conservés par LastPass. Par conséquent, ils n’ont pas été inclus dans les données exfiltrées.
Sauvegarde de la base de données LastPass MFA/Fédération – contenait des copies des graines de LastPass Authenticator, des numéros de téléphone utilisés pour l’possibility de sauvegarde MFA (si activée), ainsi qu’un composant de connaissances fractionnées (la « clé » K2) utilisé pour la fédération LastPass (si activée). Cette base de données a été chiffrée, mais la clé de déchiffrement stockée séparément a été incluse dans les secrets and techniques volés par l’auteur de la menace lors du deuxième incident.
Tous les bulletins d’help d’aujourd’hui ne sont pas faciles à trouver, aucun d’entre eux n’étant répertorié dans les moteurs de recherche, comme l’a ajouté la société. <meta identify="robots" content material="noindex"> Balises HTML au doc pour éviter qu’il ne soit indexé par les moteurs de recherche.
LastPass a également publié un PDF intitulé « Quelles mesures devez-vous prendre pour vous protéger ou protéger votre entreprise« , qui contient d’autres étapes que les shoppers peuvent effectuer pour protéger leur environnement.
