בעקבות חשיפת הפרת מידע שנמשכה חודשים, טוען LastPass שאותו תוקף פרץ למחשב של עובד וגנב כספת סיסמאות מפוענחת.
החברה דיווחה על אאירוע ביטחוניבאוגוסט 2022, ואמר שצד לא מורשה השיג גישה לשירות אחסון מבוסס ענן של צד שלישי שבו LastPass משתמש לאחסון גיבויים בארכיון. ניגשו לחלק מהנתונים של לקוחות, אבל LastPass אמרה שהסיסמאות נשארו בטוחות בגלל הארכיטקטורה המוצפנת שלה.
עכשיו, בדוחביום שלישי, החברה אמרה שאותו תוקף פרץ למחשב הביתי של עובד וגנב כספת מפוענחת שזמינה רק לקומץ מפתחי חברה. הכספת נתנה גישה לסביבת אחסון ענן משותפת המכילה מפתחות הצפנה עבור גיבויי כספת לקוחות המאוחסנים בדליים של Amazon S3.
"זה הושג על ידי מיקוד למחשב הביתי של מהנדס DevOps וניצול חבילת תוכנת מדיה פגיעה של צד שלישי, שאפשרה יכולת ביצוע קוד מרחוק ואיפשרה לשחקן האיום להשתיל תוכנות זדוניות keylogger", כתב LastPass. "שחקן האיום הצליח ללכוד את סיסמת האב של העובד כשהיא הוכנסה, לאחר שהעובד אושר עם MFA, ולהשיג גישה לכספת הארגונית של מהנדס DevOps LastPass".
על פי הדיווח של יום שני, הטקטיקה, הטכניקות והתהליכים של האירוע הראשון היו שונים מאלה שננקטו בתקרית השנייה. כתוצאה מכך, לא היה ברור לראשונה לחוקרים שהשניים קשורים ביניהם.
ההאקר ניצל את הנתונים של האירוע הראשון כדי לסנן את הנתונים שנשמרו בדליים של S3 במהלך האירוע השני. אמזון הבחינה ב"התנהגות חריגה" כאשר התוקף ניסה להשתמש בתפקידי Cloud Identity and Access Management (IAM) כדי לבצע את הפעילות הבלתי מורשית והודיע ל-LastPass.
בדצמבר, מנכ"ל LastPass, קארים טובבה, אמר שההאקרנתונים שהועתקומגיבויים שכללו פרטי חשבון לקוח ומטא נתונים קשורים לרבות שמות חברות, שמות משתמשי קצה, כתובות חיוב, כתובות דואר אלקטרוני, מספרי טלפון וכתובות IP.
ההאקר גם יצר עותק של נתוני כספת הלקוחות, אם כי LastPass אמרה שהם "מאוחסנים בפורמט בינארי קנייני". החברה טוענת שזה יהיה מאוד לא סביר שההאקרים יוכלו לפענח את הנתונים, אך הזהירה את המשתמשים שהם עלולים להיות ממוקדים בהתקפות פישינג או הנדסה חברתית.
על המשתמשים לעדכן את סיסמת המאסטר שלהם, שמכניסה אותם לכספת שלהם, כמו גם את הסיסמאות שלהם לאתרים וכניסות אחרות, כאמצעי זהירות, למרות ש-LastPass טענה שהאישורים של הלקוחות היו מוצפנים ובטוחים. בנוסף, אנשים עשויים לעבור למנהל סיסמאות אחר, כגוןמחזיק מפתחות iCloud, Bitwarden או 1Password.
LastPass טען שייקח מיליוני שנים לפענח את סיסמת האב של משתמש, אבל אמתחרה מאמיןשזה ייקח רק חלק קטן מהזמן הזה וניתן להשלים אותו תמורת 100 דולר בלבד. בפוסט בבלוג, אדריכל האבטחה העיקרי של 1Password, ג'פרי גולדברג כתב כי LastPass לא עושה מספיק כדי לאבטח את נתוני הלקוחות.
"אם אתה מחשיב את כל הסיסמאות האפשריות של 12 תווים, יש משהו סביב 2^72 אפשרויות. זה ייקח מיליוני שנים רבות לנסות את כולן. אכן, זה ייקח הרבה יותר זמן", הוא כותב. "אבל האנשים שמפצחים סיסמאות שנוצרו על ידי אדם לא עושים את זה ככה. הם מגדירים את המערכות שלהם כדי לנסות קודם את הסיסמאות הסבירות ביותר".
LastPass כבר התמודדה עם ביקורת על נהלי אבטחה מפוקפקים. בדצמבר 2021, LastPassחברים דיווחוניסיונות כניסה מרובים באמצעות סיסמאות אב נכונות ממיקומים שונים.
החברה הבטיחה ללקוחות שהתקפות הן תוצאה של סיסמאות שהודלפו בהפרות של צד שלישי. ובפברואר 2021, מצא חוקר אבטחהשבעה עוקביםבתוך אפליקציית LastPass Android לניתוח אפליקציות.
