LastPass, koordineli ve aylarca süren bir kampanya sırasında bir tehdit aktörünün Amazon Web Services depolama sunucularından son derece hassas müşteri hesabı verilerine erişmesine ve bu verileri çalmasına olanak tanıyan, 2022 ihlaliyle bağlantılı bir dizi olayı açıkladı.
Parola yöneticisi Pazartesi günü yaptığı açıklamada, soruşturmanın bir tehdit aktörünün Ağustos’tan Ekim’e kadar yürüttüğü keşif, sayım ve hırsızlık faaliyetleri de dahil olmak üzere bir dizi faaliyeti ortaya çıkardığını söyledi. destek sitesinde danışma.
Tehdit aktörü, çalınan bilgileri bir Ağustos’ta ilk ihlalŞirket, birden fazla LastPass kaynağına ve yedeğine erişim elde etmek için bir DevOps mühendisinin ev bilgisayarındaki bir üçüncü taraf ihlalinden ve uzaktan kod yürütme güvenlik açığından gelen bilgileri söyledi.
LastPass, “Tehdit aktörü, bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişimi olan dört DevOps mühendisinden birini hedef aldı” dedi. “Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”
Şirket, izinsiz girişin, tehdit aktörünün şirketin AWS üretim yedeklerine, kaynaklarına ve bazı kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş notları içeren kurumsal kasa girişlerini ve paylaşılan klasörleri sızdırmasına izin verdiğini söyledi.
İlk ihlalden dört ay sonra, 2022 sona ererken LastPass, şifrelenmiş parolalar, kullanıcı adları ve formla doldurulmuş veriler dahil olmak üzere müşteri verilerinin çalındığını söyledi. saldırı tarafından önemli ölçüde tehlikeye atıldı.
LastPass’ın ana şirketi GoTo, Ocak ayında bir tehdit aktörünü doğruladı dışarı sızdırılmış şifrelenmiş yedekler ve bir şifreleme anahtarı LastPass ile paylaştığı aynı depolama kasasından.