LastPass раскрывает, как его взломали — и это плохие новости

Дядя Влад

Прошлый год был особенно плохим для менеджера паролей LastPass, поскольку серия инцидентов со взломом выявила некоторые серьезные недостатки в его якобы надежной безопасности. Теперь мы точно знаем, как происходили эти атаки, и факты захватывают дух.

Все началось в августе 2022 года, когда LastPass сообщил, что злоумышленник украл исходный код приложения . Во второй, последующей атаке хакер объединил эти данные с информацией, обнаруженной в результате отдельной утечки данных, а затем воспользовался уязвимостью в приложении удаленного доступа, используемом сотрудниками LastPass. Это позволило им установить кейлоггер на компьютер старшего инженера компании.

Изображение хакера, взломавшего систему с помощью кода.

Как только этот кейлоггер был на месте, хакеры могли получить мастер-пароль LastPass инженера по мере его ввода, предоставляя им доступ к хранилищу сотрудника — и ко всем секретам, содержащимся в нем.

Они использовали этот доступ для экспорта содержимого хранилища. Среди данных были спрятаны ключи дешифрования, необходимые для расшифровки резервных копий клиентов, хранящихся в облачной системе хранения LastPass.

Это важно, потому что LastPass хранит производственные резервные копии и резервные копии критически важных баз данных в облаке. Также было украдено большое количество конфиденциальных данных клиентов, хотя, похоже, хакерам не удалось их расшифровать. Страница поддержки LastPass подробно описывает , что именно было украдено .

Сомнительная прозрачность

К счастью для пользователей LastPass, оказалось, что самые конфиденциальные данные клиентов, такие как (большинство) адресов электронной почты и паролей, были зашифрованы с использованием метода нулевого разглашения. Это означает, что они были зашифрованы с помощью ключа, полученного из мастер-пароля каждого пользователя и неизвестного LastPass. Когда хакеры украли данные LastPass, они не смогли получить эти ключи дешифрования, поскольку LastPass нигде их не хранил.

Тем не менее злоумышленники забрали много важных данных. Это включало резервные копии базы данных многофакторной аутентификации LastPass, секреты API, метаданные клиентов, данные конфигурации и многое другое. Кроме того, похоже, что многие продукты, помимо LastPass , также были взломаны .

На странице поддержки LastPass сообщил, что способ проведения второй атаки — с использованием подлинных учетных данных сотрудника — затруднил ее обнаружение. В конце концов, компания поняла, что что-то не так, когда ее система AWS GuardDuty Alerts предупредила ее, что кто-то пытается использовать ее роли Cloud Identity и Access Management для выполнения несанкционированных действий.

На большом мониторе отображается предупреждение о взломе системы безопасности.

В последние месяцы LastPass подвергся многочисленной критике за то, как он справляется с атаками, и это неодобрение вряд ли утихнет в свете последних разоблачений. На самом деле, одна охранная компания зашла так далеко, что заявила, что LastPass не заслуживает доверия и что пользователи должны переключаться на другие менеджеры паролей .

Прямо сейчас LastPass, по-видимому, пытается скрыть свои страницы поддержки атак от поисковых систем, добавляя на страницы код «<meta name="robots" content="noindex">». Это только затруднит пользователям (и всему миру) выяснить, что произошло, и вряд ли это будет сделано в духе прозрачности и подотчетности. В блоге компании также ничего не было опубликовано.

Если вы являетесь клиентом LastPass, возможно, лучше найти альтернативное приложение. К счастью, существует множество других превосходных менеджеров паролей , которые могут надежно защитить вашу важную информацию.