LastPass lại một lần nữa phải thông báo cho khách hàng của mình về sự cố bảo mật liên quan đến vi phạm môi trường phát triển vào tháng 8/2022 và sau đó là truy cập trái phép vào dịch vụ lưu trữ đám mâybên thứ bacủa một công ty, nơi các bản sao lưu được lưu trữ.
Cụ thể, kẻ tấn công đã sử dụng một lỗ hổng thực thi mã từ xa và thông tin bị đánh cắp trong vụ vi phạm vào tháng 8 để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao và giành được quyền truy cập vào các bucket Amazon S3 đã được mã hóa của công ty.
Kẻ tấn công đã nhắm mục tiêu vào một trong số họ vì chỉ có bốn kỹ sư DevOps cấp cao của LastPass có quyền truy cập vào các giải mã này. Cuối cùng, kẻ tấn công đã cài đặt thành công keylogger trên thiết bị của kỹ sư đó bằng cách khai thác lỗ hổng thực thi mã từ xa trong một phần mềm bên thứ ba.
Theo LastPass, kẻ tấn công đã lợi dụng thông tin bị đánh cắp trong sự cố đầu tiên và có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đã xác thực bằng MFA và có quyền truy cập vào kho lưu trữ.LastPasscủa kỹ sư DevOps. Sau đó, kẻ tấn công đã trích xuất các dữ liệu được lưu trữ trong đó bao gồm nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các truy cập và giải mã cần thiết để truy cập các bản sao lưu AWS S3 LastPass đang được sử dụng trong thực tế, các tài nguyên lưu trữ trên cloud khác và một số bản sao lưu cơ sở dữ liệu quan trọng liên quan.
Việc sử dụng dữ liệu xác thực hợp lệ khiến các nhà điều tra của công ty khó xác định hoạt động của kẻ xâm nhập, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ cloud của LastPass trong hơn hai tháng, từ ngày 12/8 đến ngày 26/10/2022.
Khi kẻ tấn công cố gắng sử dụng quyền quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép, LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts.
Theo công ty, kể từ đó, họ đã tăng cường bảo mật của mình, bao gồm thay đổi thông tin đăng nhập nhạy cảm và/mã token xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung, và thực hiện các chính sách bảo mật chặt chẽ hơn.
Truy cập vào kho dữ liệu khá lớn của LastPass
LastPass cũng đã cung cấp thông tin chi tiết về thông tin cá nhân của khách hàng đã bị đánh cắp trong cuộc tấn công. Thông tin bị lộ ra rất rộng rãi và đa dạng, từ các thành phần xác thực đa yếu tố, các tích hợp (integration secrets) API MFA cho đến phân tách K2 (Split knowledge component Key) dành cho khách hàng doanh nghiệp được liên kết.
Ngoài các dữ liệu đã nói ở trên, một số mã nguồn, tập lệnh, tài liệu nội bộ và một sốdữ liệu sao lưuTrong hai vụ vi phạm nói trên, (đã được mã hóa) LastPass cũng đã bị truy cập trái phép.
Theo LastPass, tất cả dữ liệu nhạy cảm của khách hàng, ngoại trừ URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp cụ thể liên quan đến địa chỉ email, đều được mã hóa bằng mô hình Zero knowledge của LastPass và chỉ có thể được giải mã bằng mật khẩu chính của mỗi người dùng. Do chúng không được đưa vào dữ liệu bị lộ, mật khẩu chính của người dùng không bao giờ được LastPass biết cũng như không được LastPass lưu trữ.
Mộttệp hướng dẫnđể đề xuất các phương án mà khách hàng có thể thực hiện để bảo vệ môi trường của họ và cập nhật các sự cố bảo mật.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống