كشفت LastPass عن خرق خطير للبيانات في ديسمبر 2022 أتاح للجهات الفاعلة بالتهديد الوصول إلى خزائن كلمات المرور المشفرة، قائلة إن ذلك كان نتيجة هجوم ثانٍ على أنظمتها من قبل نفس الخصم.
قالت الشركة إن مهندسًا في DevOps اخترق جهاز كمبيوتر منزلي شخصي وأصابه بمسجل لوحة مفاتيح كجزء من هجوم إلكتروني مستمر سرق بيانات حساسة من خوادم التخزين السحابية Amazon AWS.
وقالت خدمة إدارة كلمات المرور: "شن المهاجمون هجومًا ثانيًا منسقًا باستخدام معلومات مسروقة من الحادث الأول، ومعلومات قدمها خرق بيانات طرف ثالث، ونقاط ضعف في حزم وسائط الطرف الثالث".
في الفترة من 12 أغسطس 2022 إلى 26 أكتوبر 2022، استهدف الخرق البنية التحتية للشركة ومواردها وموظفًا واحدًا. من ناحية أخرى، ينتهي الحدث الأصلي في 12 أغسطس 2022.
في الاختراق في أغسطس، تمكن المتسللون من الوصول إلى شفرة المصدر والمعلومات الفنية الخاصة من داخل بيئة التطوير الخاصة بهم من خلال حساب موظف تم اختراقه.
في ديسمبر 2022، كشف LastPass عن بعض العناصر التي استخدم فيها المهاجمون المعلومات المسروقة للوصول إلى بيئات التخزين السحابية والحصول على معلومات حول عملائنا.
في وقت لاحق من نفس الشهر، تم العثور على المهاجم المجهول تمكن من الوصول إلى نسخة احتياطية من بيانات متجر العميل، والتي قال إنها محمية باستخدام تشفير 256 بت AES. ولم تكشف عن موعد عمل النسخة الاحتياطية.
اعترفت شركة GoTo، الشركة الأم لـ LastPass، الشهر الماضي بخرق ناتج عن الوصول غير المصرح به إلى خدمة التخزين السحابية لجهة خارجية.
الآن، وفقًا للشركة، أجرى الممثل سلسلة جديدة من حملات الاستطلاع والتعداد والقرصنة التي تهدف إلى خدمة التخزين السحابي بين أغسطس 2022 وأكتوبر 2022.
على وجه التحديد، كان ممثل التهديد قادرًا على استخدام بيانات اعتماد صالحة سُرقت من مهندس كبير في DevOps للوصول إلى بيئة تخزين سحابية مشتركة، كما قال LastPass، مضيفًا أن المهندس كان لديه حق الوصول إلى مفاتيح فك التشفير اللازمة للوصول إلى خدمة التخزين السحابي.
وأشارت إلى أن هذا منح الجهات الخبيثة إمكانية الوصول إلى حاويات AWS S3 التي تحتوي على نسخ احتياطية لعميل LastPass وبيانات قبو مشفرة.
يُزعم أن كلمات مرور الموظفين تم اختراقها، واستهداف أجهزة الكمبيوتر المنزلية للأفراد واستغلال حزم وسائط الطرف الثالث الضعيفة لتمكين تنفيذ التعليمات البرمجية عن بُعد وزرع keylogger.
قال LastPass: بعد مصادقة موظف باستخدام MFA، تمكن ممثل التهديد من الحصول على كلمة المرور الرئيسية للموظف عند إدخالها والوصول إلى قبو الشركة LastPass لمهندس DevOps.
لم يكشف LastPass عن اسم برنامج وسائط الطرف الثالث المستخدم، ولكن هناك مؤشرات على أنه قد يكون Plex، حيث تعرض لخرق خاص به في أواخر أغسطس 2022.
بعد الحادث، قالت LastPass إنها قامت بترقية وضعها الأمني من خلال تدوير بيانات الاعتماد الحرجة وذات الامتيازات العالية وإعادة إصدار الشهادات التي حصل عليها ممثل التهديد، وتنفيذ إجراءات تقوية إضافية S3 لإنشاء آليات التسجيل والتنبيه.
يتم تشجيع مستخدمي LastPass بشدة على تغيير كلمة المرور الرئيسية وكل كلمات المرور المخزنة في خزائنهم لتقليل المخاطر المحتملة إذا لم يفعلوا ذلك بالفعل.