Aralık 2022’de tehdit aktörlerinin şifreli şifre kasalarına erişmesine izin veren ciddi bir veri ihlalini ifşa eden LastPass, bunun aynı saldırganın sistemlerine ikinci bir saldırı başlatması sonucunda meydana geldiğini söyledi.
Şirket, DevOps mühendislerinden birinin kişisel ev bilgisayarını ihlal ettiğini ve Amazon AWS bulut depolama sunucularından hassas verileri sızdıran sürekli bir siber saldırının parçası olarak bir keylogger’a bulaştığını söyledi.
Parola yönetimi hizmeti, “Tehdit aktörü, koordineli bir ikinci saldırı başlatmak için ilk olay sırasında çalınan bilgileri, üçüncü taraf bir veri ihlalinden elde edilen bilgileri ve üçüncü taraf medya yazılım paketindeki bir güvenlik açığını kullandı” dedi.
Bu izinsiz giriş, 12 Ağustos 2022’den 26 Ekim 2022’ye kadar şirketin altyapısını, kaynaklarını ve bir çalışanını hedef aldı. İlk olay ise 12 Ağustos 2022’de sona erdi.
Ağustos ayı ihlali, davetsiz misafirlerin güvenliği ihlal edilmiş tek bir çalışan hesabı aracılığıyla geliştirme ortamından kaynak koduna ve özel teknik bilgilere eriştiğini gördü.
Aralık 2022’de LastPass, tehdit aktörünün çalınan bilgileri bulut tabanlı bir depolama ortamına erişmek ve “müşterilerimizin bilgilerinin belirli öğelerini” ele geçirmek için kullandığını ortaya çıkardı.
Aynı ayın ilerleyen saatlerinde, bilinmeyen saldırganın, 256 bit AES şifreleme kullanılarak korunduğunu söylediği müşteri kasası verilerinin bir yedeğine erişim elde ettiği açıklandı. Yedeklemenin ne kadar yeni olduğunu açıklamadı.
LastPass’ın ana şirketi olan GoTo da geçen ay üçüncü taraf bulut depolama hizmetine yetkisiz erişimden kaynaklanan bir ihlal olduğunu iddia etti.
Şimdi şirkete göre, tehdit aktörü, Ağustos ve Ekim 2022 arasında bulut depolama hizmetini hedefleyen yeni bir dizi “keşif, sayım ve sızma faaliyetleri” gerçekleştirdi.
LastPass, “Özellikle tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerinden yararlanabildi,” dedi ve mühendisin “bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişimi olduğunu” da sözlerine ekledi.
Bu, kötü niyetli aktörün LastPass müşterisinin yedeklerini ve şifrelenmiş kasa verilerini barındıran AWS S3 klasörlerine erişim elde etmesine izin verdi.
İşletmeniz 2023’ün En Önemli SaaS 🛡️ Güvenlik Zorluklarına Hazır mı? Bunlarla Nasıl Başa Çıkacağınızı Öğrenin – Web Seminerimize Hemen Katılın!
Çalışanın şifrelerinin, kişinin ev bilgisayarını hedefleyerek ve uzaktan kod yürütmeyi başarmak ve bir keylogger yazılımı yerleştirmek için “savunmasız bir üçüncü taraf medya yazılım paketi” kullanılarak ele geçirildiği söyleniyor.
LastPass, “Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı” dedi.
LastPass, kullanılan üçüncü taraf medya yazılımının adını açıklamadı, ancak bunun Plex olabileceğine dair göstergeler var. temelli Ağustos 2022’nin sonlarında kendi ihlaline maruz kaldığı gerçeği üzerine.
Olayın ardından LastPass, kritik ve yüksek ayrıcalık kimlik bilgilerini değiştirerek ve tehdit aktörü tarafından alınan sertifikaları yeniden yayınlayarak güvenlik duruşunu yükselttiğini ve günlük kaydı ve uyarı mekanizmalarını devreye sokmak için ekstra S3 güçlendirme önlemleri uyguladığını söyledi.
LastPass kullanıcılarının, henüz yapmamışlarsa, potansiyel riskleri azaltmak için ana parolalarını ve kasalarında depolanan tüm parolaları değiştirmeleri önemle tavsiye edilir.