8 Ağustos 2022
Bir tehdit aktörü, bulut tabanlı bir geliştirme ortamına erişim elde etmek için bir LastPass yazılım mühendisinin kurumsal dizüstü bilgisayarının güvenliğini ihlal etti. düşman kaynak kodunu çaldıtescilli teknik belgeler ve şirketin bazı dahili sistem sırları.
Tehdit aktörü, sızmak için teknik belgeleri ve kaynak kodunu kullandı LastPass hizmetinin bileşenleriyle ilgili yaklaşık 200 kaynak kodu deposundan 14’ü.
bu kaynak kodu havuzları, açık metin gömülü kimlik bilgilerini, şirketin geliştirme altyapısı için depolanmış dijital sertifikaları ve üretim için kullanılan şifrelenmiş kimlik bilgilerini içeriyordu.
12 Ağustos 2022
LastPass güvenlik ekibi, kötü amaçlı etkinlik konusunda uyarıldı. Şirket bunu “ilk olayHemen ardından bir “ikinci olay”Şirket, 12 Ağustos’ta başladığını söylüyor.
Takip uzlaşmasında, tehdit aktörü kullandı daha yaygın ve zarar verici bir saldırı başlatmak için ilk ihlalden sızan bilgiler.
13 Ağustos 2022
LastPass, olay müdahale firması Mandiant ile anlaştı.
25 Ağustos 2022
Toubba, ihlalin kontrol altına alındığını ve LastPass’in izinsiz faaliyete dair başka bir kanıt görmediğini söyledi.
LastPass, bu aşamada üretim ve geliştirme altyapısı arasında ayrım yaptı ve yetkisiz erişimin, fiziksel ve mantıksal olarak ayrılmış ve kişisel verileri barındırmayan geliştirme ortamında gerçekleştiğini söyledi.
15 Eylül 2022
LastPass, Mandiant’ın yardımıyla ilk olayla ilgili araştırmasını tamamladı.
Şirket, tehdit aktörünün dört gündür geliştirme sisteminin içinde olduğunu ve ihlali içeriyordu.
Toubba, güncellenen blog gönderisinde, “Belirlenen zaman çizelgesinin ötesinde herhangi bir tehdit aktörü faaliyetine dair kanıt yok” dedi. “Ayrıca, bu olayın müşteri verilerine veya şifreli şifre kasalarına erişim içerdiğine dair hiçbir kanıt olmadığını da doğrulayabiliriz.”
Üçüncü taraf VPN hizmetleri, tehdit aktörünün konumlarını gizlemesine, yazılım mühendisinin kimliğine bürünmesine ve kurumsal VPN aracılığıyla bulut tabanlı geliştirme ortamına özel bir bağlantıya erişmesine ve bunu sürdürmesine izin verdi.
LastPass bunu, yazılım mühendisinin etki alanı kimlik bilgileri ve çok faktörlü kimlik doğrulama ile başarılı kimlik doğrulamasına dayanan bir “arka kapı” yaklaşımı olarak tanımlar.
Şirket, olay raporunda “Hiçbir ayrıcalık artışı tanımlanmadı veya gerekmedi” dedi.
Tehdit aktörü ayrıca anti-adli faaliyet gerçekleştirdi ve yazılım mühendisinin kurumsal dizüstü bilgisayarında dört günlük süre içinde planlanan bir işletim sistemi yükseltmesi, günlüklerin ve sistem yapılarının üzerine yazdı.
LastPass’a göre, saldırganın yazılım mühendisinin makinesine erişmek için kullandığı ilk tehdit vektörü bilinmiyor.
26 Ekim 2022
LastPass sistemlerinde hâlâ aktif olan tehdit aktörü, daha sonra yapılan bir soruşturmaya göre şirketin AWS S3 depolama paketlerini içeren “yeni bir dizi keşif, sayım ve sızma faaliyetinde bulundu”.
Tehdit aktörü, LastPass’ın 12 Ağustos’tan 26 Ekim’e kadar sürdüğünü söylediği ikinci olayın bir parçası olarak neredeyse üç ay boyunca LastPass tarafından tespit edilmeden çalıştı.
30 Kasım 2022
Parola yöneticisi, ilk kez, kabul edilen müşteri verilerinin güvenliği ihlal edildi Siber saldırı sonucunda.
Toubba, güncellenmiş bir blog yazısında, “Ağustos 2022 olayında elde edilen bilgileri kullanan yetkisiz bir tarafın, müşterilerimizin bilgilerinin belirli öğelerine erişebildiğini belirledik” dedi.
LastPass, sonraki ihlali ne zaman keşfettiğini söylemedi. Şirket kolluk kuvvetlerine haber verdi ve uzlaşmanın kapsamını belirlemek ve hangi bilgilerin açığa çıktığını belirlemek için Mandiant ile yeniden görüştü.
22 Aralık 2022
LastPass dedi müşteri verileri önemli ölçüde tehlikeye girdi tehdit aktörü, müşteri kasası verilerinin bulut tabanlı bir yedeğini kopyaladıktan sonra.
Çalınan veriler arasında şifrelenmiş parolalar, kullanıcı adları ve formla doldurulmuş veriler yer alıyordu. Müşteri veri kasası, müşterilerin parola yöneticisi aracılığıyla eriştiği web sitesi URL’leri, şirket adları, fatura adresleri, e-posta adresleri, telefon numaraları ve müşterilerin platforma erişmek için kullandıkları IP adresleri gibi şifrelenmemiş verileri de içeriyordu.
LastPass, müşterilerini kaba kuvvet, kimlik avı ve kimlik bilgileri doldurma saldırılarına karşı tetikte olmaları konusunda uyardı.
Çoğu son derece hassas müşteri hesabı verileri Kullanıcıların ana şifreleri dışında, şifre yöneticisi tarafından tutulan şifreler artık tehlikeye atılmıştır.
Bu olabildiğince kötü, ” Chester Wisniewski, Sophos’ta uygulamalı araştırmaların CTO’suo sırada e-posta yoluyla söylendi.
23 Ocak 2023
LastPass’ın ana şirketi GoTo, bir tehdit aktörünü ortaya çıkardı dışarı sızdırılmış şifrelenmiş yedekler ve bir şifreleme anahtarı LastPass ile paylaştığı aynı depolama kasasından.
27 Şubat 2023
İlk olaydan altı aydan uzun bir süre sonra LastPass, tehdit aktörünü Ağustos ihlalinden sonraki uzun süreli saldırıya bağladı.
Saldırgan, birden fazla LastPass kaynağına ve yedeğine erişim elde etmek için ilk ihlalde çalınan bilgileri, üçüncü taraf bir ihlalden gelen bilgileri ve bir DevOps mühendisinin ev bilgisayarındaki uzaktan kod yürütme güvenlik açığını kullandı. destek sitesinde danışma.
“Tehdit aktörü dört DevOps mühendisinden birini hedef aldı LastPass, “Bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişimi olanlar,” dedi. “Tehdit aktörü, çalışan MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”
Tehdit aktörü, mühendisin cihazına keylogger kötü amaçlı yazılımı yerleştirmek için savunmasız bir üçüncü taraf medya yazılım paketinden yararlandı.
Şirket, izinsiz girişin, tehdit aktörünün şirketin AWS üretim yedeklerine, kaynaklarına ve bazı kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş notları içeren kurumsal kasa girişlerini ve paylaşılan klasörleri sızdırmasına izin verdiğini söyledi.
Şirket, gözlemlenen taktikler, teknikler ve prosedürlerin yanı sıra uzlaşma göstergelerinin birinci ve ikinci olay arasında tutarlı olmadığını söyledi. “Zaman çizelgesi açısından yakın olsa da, başlangıçta iki olayın doğrudan ilişkili olduğu açık değildi.”
Şirket, tehdit aktörü kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerini kullandığından, müfettişlerin “tehdit aktörü faaliyeti ile devam eden meşru faaliyet arasında ayrım yapamadıklarını” söyledi.
Şirketin güncellemesine göre AWS GuardDuty Alerts, tehdit aktörü yetkisiz etkinlik gerçekleştirmek için Cloud Identity ve Access Management rollerini kullanmaya çalıştığında tespit ettiği anormal davranışlarla ilgili olarak LastPass’ı bilgilendirdi.
Aylarca süren kampanya, müşterilerin verilerinin yaygın şekilde çalınmasıyla sonuçlandı.
LastPass, devam eden çevreleme, yok etme ve kurtarma çabalarının bir parçası olarak olaya yanıt olarak gerçekleştirdiği çok sayıda eylemi listeledi. Şirket ayrıca bir mesaj yayınladı. güvenlik bülteni bu, işletme yöneticilerini daha fazla koruma için ek önlemler almaya teşvik eder.
1 Mart 2023
Toubba beşinci ve en ayrıntılısını yayınladı Blog yazısı siber saldırı ile ilgili bugüne kadar. Altı aylık kafa karışıklığı ve kargaşanın ardından Toubba, müşterilerin hayal kırıklığını kabul etti ve daha fazla iletişim ve şeffaflık sözü verdi.
Eleştiriyi kabul ediyorum ve tüm sorumluluğu alıyorum” dedi.
Toubba, şirketin “bu etkinlik boyunca daha hızlı, daha net ve daha kapsamlı iletişim kuramamasından” uzun ama artık tamamlanmış olan soruşturmayı sorumlu tuttu.
Saldırı sırasında, tehdit aktörü DevOps sırlarına, bulut tabanlı yedekleme deposuna ve LastPass’ın MFA veritabanının bir yedeğine erişti.
Toubba, “Son kullanıcı ana parolaları LastPass tarafından hiçbir zaman bilinmez ve LastPass tarafından depolanmaz veya korunmaz – bu nedenle, bunlar sızdırılmış verilere dahil edilmemiştir” dedi.
AWS depolama yedeği, yapılandırma verilerini, API sırlarını, üçüncü taraf entegrasyon sırlarını, müşteri meta verilerini ve tüm müşteri kasası verilerinin yedeklerini içeriyordu.
MFA veritabanı, müşterilerin LastPass kimlik doğrulayıcı tohumlarının kopyalarını, MFA yedeklemesi için kullanılan telefon numaralarını ve ticari müşteriler tarafından kullanılan bir bölünmüş bilgi bileşenini veya K2 anahtarlarını içeriyordu.
MFA veritabanı şifrelenmişti, ancak tehdit aktörü saldırı sırasında ayrı olarak saklanan şifre çözme anahtarını çaldı..
Toubba, “Tehdit aktörünün kimliği ve motivasyonu bilinmiyor” dedi. “Herhangi bir temas veya talepte bulunulmadı ve tehdit aktörünün her iki olay sırasında elde edilen herhangi bir bilgiyi aktif olarak pazarlamak veya satmakla meşgul olduğunu gösteren hiçbir güvenilir yeraltı faaliyeti tespit edilmedi.”