Kỹ sư DevOps của LastPass bị hack mật khẩu khiến công ty bị vi phạm dữ liệu trong năm 2022

Mới đây, LastPass đã tiết lộ thêm thông tin về "cuộc tấn công phối hợp thứ hai", trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ cloud AWS của Amazon trong hơn hai tháng.

LastPass đã tiết lộ về vụ vi phạm vào tháng 12, cho biết kẻ tấn công đã đánh cắp dữ liệu khách hàng và dữ liệu kho mật khẩu được mã hóa một phần.

Kẻ tấn công đã sử dụng thông tin bị đánh cắp trong vụ vi phạm vào tháng 8 trước đó và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao và giành được quyền truy cập vào các bucket Amazon S3 đã được mã hóa của công ty.

Vì chỉ có bốn kỹ sư DevOps của LastPass có quyền truy cập vào các khóa giải mã này nên tác nhân đe dọa đã nhắm mục tiêu vào một trong số họ. Cuối cùng, hắn đã cài đặt thành công keylogger trên thiết bị của một kỹ sư bằng cách khai thác lỗ hổng thực thi mã từ xa trong một phần mềm truyền thông của bên thứ ba.

Trong một tư vấn bảo mật mới được công bố hôm qua, công ty cho biết: "Tin tặc đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đã xác thực bằng MFA và có quyền truy cập vào kho lưu trữ LastPass của kỹ sư DevOps".

"Sau đó, hắn đã trích xuất các dữ liệu được lưu trữ trong đó và nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu AWS S3 LastPass đang dùng trong thực tế, các tài nguyên lưu trữ trên cloud khác và một số bản sao lưu cơ sở dữ liệu quan trọng liên quan."

Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ xâm nhập, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ cloud của LastPass trong hơn hai tháng, từ ngày 12 tháng 8 đến ngày 26 tháng 10 năm 2022.

LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ tấn công cố gắng sử dụng quyền Quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.

Công ty cho biết kể từ đó họ đã tăng cường bảo mật của mình, bao gồm thay đổi thông tin đăng nhập nhạy cảm và khóa/mã token xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.

Một lượng lớn dữ liệu đã bị truy cập

LastPass cũng đã tiết lộ chi tiết về thông tin nào của khách hàng đã bị đánh cắp trong cuộc tấn công.

Dữ liệu bị lộ rất rộng và đa dạng, bao gồm từ các thành phần xác thực đa yếu tố (seed), các khóa tích hợp (integration secrets) API MFA cho đến khóa phân tách “K2” (Split knowledge component Key) dành cho khách hàng doanh nghiệp được liên kết.

Ngoài các dữ liệu trên, một số mã nguồn, tập lệnh, tài liệu nội bộ và một số dữ liệu sao lưu [đã được mã hóa] của LastPass cũng đã bị truy cập trái phép trong hai vụ vi phạm trên.

LastPass lưu ý rằng tất cả dữ liệu nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp nhất định liên quan đến địa chỉ email, đều được mã hóa bằng mô hình Zero knowledge của LastPass và chỉ có thể được giải mã bằng mật khẩu chính của mỗi người dùng. Mật khẩu chính của người dùng không bao giờ được LastPass biết cũng như không được LastPass lưu trữ, do đó, chúng không được đưa vào dữ liệu bị lộ.

LastPass đã phát hành một tệp hướng dẫn với tiêu đề "What actions should you take to protect yourself or your business", trong đó có các bước tiếp theo mà khách hàng có thể thực hiện để bảo vệ môi trường của họ.

Nguồn: bleepingcomputer.com.