LastPass ha informado que la computadora doméstica de un ingeniero de DevOps se vio comprometida para robar datos de la bóveda de contraseñas durante la violación de datos de agosto de 2022.
LastPass Lost Vault Data en la filtración de 2022
El administrador de contraseñas LastPass ha revelado más información sobre su violación de datos de agosto de 2022, afirmando que la computadora de la casa de un ingeniero de DevOps fue pirateada para robar datos de la bóveda de contraseñas.
El 27 de febrero de 2023, LastPass publicó un aviso de seguridad sobre la filtración de datos sufrida en agosto de 2022. LastPass ya informó a los lectores que se accedió a las bóvedas de datos de los clientes en el ataque, con otro ataque tendrá lugar en noviembre de 2022 que estaba ligado al primero. Desde el golpe inicial, supuestamente también se robaron $ 53,000 en Bitcoin, por lo que se presentó una demanda colectiva.
En el Aviso de seguridad de LastPass, se escribió que, durante el ataque de agosto de 2022, el operador malicioso pudo "aprovechar las credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido, que inicialmente dificultó a los investigadores diferenciar entre la actividad del actor de amenazas y la actividad legítima en curso".
El ingeniero de DevOps tenía acceso a las claves de descifrado, lo que los convirtió en un objetivo principal para el atacante. Estas claves permitieron el acceso a los servicios de almacenamiento en la nube de LastPass, que contienen datos de clientes de LastPass y datos de bóveda cifrados. Solo cuatro ingenieros de LastPass DevOps tuvieron acceso a estas claves, y solo una fue seleccionada con éxito.
LastPass también declaró que "el actor de amenazas pasó del primer incidente, que finalizó el 12 de agosto de 2022, pero participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración alineadas con el entorno de almacenamiento en la nube que abarca desde del 12 de agosto de 2022 al 26 de octubre de 2022". No fue hasta que AWS GuardDuty Alerts notificó a LastPass sobre actividad inusual que el problema se solucionó. resaltado.
Se explotó un paquete de software para comprometer la PC objetivo
Para piratear la computadora de la casa del ingeniero de DevOps, el atacante explotó un paquete de medios de software de terceros vulnerable. A través de este exploit, el atacante podía habilitar y realizar la ejecución remota de código, lo que llevó a la instalación de malware keylogger. Este registrador de teclas se usó luego para robar la contraseña maestra del empleado y acceder a la bóveda corporativa de LastPass.
Después de acceder a la bóveda, el actor malintencionado exportó tanto las entradas de la bóveda como el contenido de la carpeta compartida. Dentro de los datos exportados había notas seguras encriptadas, así como Claves de descifrado de LastPass. Estas claves eran necesarias para "acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas".
LastPass hace que los usuarios cuestionen su integridad
Si bien algunos usuarios aprecian la transparencia de LastPass con respecto a este incidente, muchos están enojados por los continuos problemas de seguridad que sufre la empresa. Los usuarios consternados recurrieron a Twitter para expresar sus sentimientos sobre la integridad de la seguridad de LastPass. Como se ve a continuación, una persona criticó la decisión de LastPass de otorgar a ciertos empleados acceso a una bóveda de contraseñas descifradas.
La reputación de LastPass parece manchada en medio de estos ataques
Después de encontrarse con numerosos problemas de seguridad en los últimos años, la gente ahora se pregunta si LastPass es una opción legítima para el almacenamiento de contraseñas. Con algunos usuarios que ya están dejando atrás LastPass, no se sabe cómo este administrador de contraseñas capeará esta tormenta.