LastPass heeft gemeld dat de thuiscomputer van een DevOps-technicus is gecompromitteerd om wachtwoordkluisgegevens te stelen tijdens het datalek van augustus 2022.
LastPass verloor kluisgegevens bij de inbreuk van 2022
Wachtwoordbeheerder LastPass heeft meer informatie onthuld over het datalek van augustus 2022, waarin staat dat de thuiscomputer van een DevOps-ingenieur was gehackt om gegevens uit de wachtwoordkluis te stelen.
Op 27 februari 2023 bracht LastPass een beveiligingsadvies uit met betrekking tot het datalek in augustus 2022. LastPass informeerde de lezers al dat tijdens de aanval toegang was verkregen tot kluizen met klantgegevens een andere aanval vindt plaats in november 2022 dat was gekoppeld aan de eerste. Van de eerste hit zou ook $ 53.000 aan Bitcoin zijn gestolen, waaruit een class action-rechtszaak is aangespannen.
In de LastPass-beveiligingsadvies
, werd geschreven dat de kwaadwillende operator tijdens de aanval van augustus 2022 in staat was "geldige inloggegevens te gebruiken die waren gestolen van een senior DevOps-engineer om toegang te krijgen tot een gedeelde cloud-opslagomgeving, wat het aanvankelijk moeilijk maakte voor onderzoekers om onderscheid te maken tussen activiteit van bedreigingsactoren en lopende legitieme activiteiten."De DevOps-engineer had toegang tot decoderingssleutels, waardoor ze een belangrijk doelwit waren voor de aanvaller. Deze sleutels gaven toegang tot de cloudopslagservices van LastPass, die LastPass-klantgegevens en gecodeerde kluisgegevens bevatten. Slechts vier LastPass DevOps-technici hadden toegang tot deze sleutels, waarvan er slechts één met succes werd getarget.
LastPass verklaarde ook dat "de bedreigingsactor draaide vanaf het eerste incident, dat eindigde op 12 augustus 2022, maar actief bezig was in een nieuwe reeks verkennings-, opsommings- en exfiltratieactiviteiten die zijn afgestemd op de cloudopslagomgeving van 12 augustus 2022 tot 26 oktober 2022." Pas toen AWS GuardDuty Alerts LastPass op de hoogte bracht van ongebruikelijke activiteit, werd het probleem gemarkeerd.
Er werd misbruik gemaakt van een softwarepakket om de beoogde pc in gevaar te brengen
Om de thuiscomputer van de DevOps-engineer te hacken, maakte de aanvaller misbruik van een kwetsbaar software-mediapakket van derden. Via deze exploit kon de aanvaller de uitvoering van externe code mogelijk maken en uitvoeren, wat leidde tot de installatie van keylogger-malware. Deze keylogger werd vervolgens gebruikt om het hoofdwachtwoord van de werknemer te stelen en toegang te krijgen tot de LastPass-bedrijfskluis.
Na toegang tot de kluis exporteerde de kwaadwillende actor zowel de kluisvermeldingen als de inhoud van de gedeelde map. Binnen de geëxporteerde gegevens waren ook gecodeerde beveiligde notities LastPass-decoderingssleutels. Deze sleutels waren nodig om "toegang te krijgen tot de AWS S3 LastPass-productieback-ups, andere cloudgebaseerde opslagbronnen en enkele gerelateerde kritieke databaseback-ups."
LastPass heeft gebruikers die de integriteit ervan in twijfel trekken
Hoewel sommige gebruikers de transparantie van LastPass met betrekking tot dit incident waarderen, zijn velen boos over de aanhoudende beveiligingsproblemen waarmee het bedrijf wordt geconfronteerd. Verbijsterde gebruikers zijn naar Twitter gegaan om hun gevoelens over de beveiligingsintegriteit van LastPass te uiten. Zoals hieronder te zien is, bekritiseerde een persoon het besluit van LastPass om bepaalde werknemers toegang te verlenen tot een gedecodeerde wachtwoordkluis.
De reputatie van LastPass lijkt aangetast te midden van deze aanvallen
Na de afgelopen jaren tal van beveiligingsproblemen te hebben ondervonden, vragen mensen zich nu af of LastPass een legitieme optie is voor het opslaan van wachtwoorden. Nu sommige gebruikers LastPass al achter zich hebben gelaten, is het niet duidelijk hoe deze wachtwoordbeheerder deze storm zal doorstaan.