LastPass признает утечку данных клиентов, вызванную предыдущим взломом

Еще в августе 2022 года популярная компания-менеджер паролей LastPass допущены к нарушение данных.

Компания, принадлежащая бизнесу программного обеспечения как услуги GoTo, ранее называвшемуся LogMeIn, опубликовала очень краткий, но, тем не менее, полезный отчету об этом инциденте примерно через месяц:

Короче говоря, LastPass пришел к выводу, что злоумышленникам удалось внедрить вредоносное ПО на компьютер разработчика.

Похоже, что с плацдармом на этом компьютере злоумышленники смогли дождаться, пока разработчик пройдет процесс аутентификации LastPass, включая предоставление всех необходимых учетных данных многофакторной аутентификации, а затем «закрыть» их в системах разработки компании.

LastPass настаивал на том, что учетная запись разработчика не давала преступникам доступа к каким-либо данным клиентов или даже к чьим-либо зашифрованным хранилищам паролей.

Однако компания признала, что мошенники украли конфиденциальную информацию LastPass, в том числе «некоторые из нашего исходного кода и техническая информация», и что мошенники находились в сети четыре дня, прежде чем их заметили и выгнали.

Согласно LastPass, пароли клиентов, сохраненные на серверах компании, никогда не существуют в расшифрованном виде в облаке. Мастер-пароль, используемый для расшифровки сохраненных паролей, запрашивается и используется только в памяти ваших собственных устройств. Таким образом, любые пароли, хранящиеся в облаке, шифруются перед загрузкой и снова расшифровываются только после загрузки. Другими словами, даже если бы данные хранилища паролей были украдены, они все равно были бы неразборчивы.

Последние разработки

Однако в конце ноября 2022 года LastPass дальнейшее признание что в этой истории было немного больше, чем, возможно, они надеялись.

В соответствии с бюллетень по безопасности от 2022 ноября 11 г., компания недавно снова подверглась взлому со стороны злоумышленников «с использованием информации, полученной в ходе инцидента в августе 2022 года», и на этот раз данные клиентов были украдены.

Другими словами, даже если преступники не могли копаться в записях клиентов непосредственно со слов разработчика, заразившегося вредоносной программой еще в августе, похоже, мошенники все-таки удрали с внутренними реквизитами, которые косвенно дал им или кому-то, кому они продали данные, доступ к информации о клиентах позже.

К сожалению, LastPass пока не предоставляет никакой информации о том, какие данные клиентов были украдены, а просто сообщает, что это «усердно работать, чтобы понять масштаб инцидента и определить, к какой конкретной информации был получен доступ».

Все, что LastPass может сказать с уверенностью прямо сейчас [2022-12-01-T23:30Z], — это повторить, что «Пароли наших клиентов остаются надежно зашифрованными благодаря архитектуре LastPass с нулевым разглашением».

(Нулевое знание это жаргонный термин, отражающий тот факт, что, хотя LastPass хранит какие-то данные в хранилищах паролей своих клиентов, он не знает, к чему на самом деле относятся эти данные, и даже если они вообще состоят из имен учетных записей и паролей.)

Короче говоря, даже если в конечном итоге выяснится, что мошенники могли украсть личную информацию, такую ​​как домашние адреса, номера телефонов и данные платежной карты (хотя мы, конечно, надеемся, что это не так), ваши пароли по-прежнему в полной безопасности. мастер-пароль, который вы изначально выбрали для себя, который облачные сервисы LastPass никогда не запрашивают, не говоря уже о сохранении копий.

Что делать?

• Если вы являетесь клиентом LastPass, мы предлагаем вам следить за обновлениями в отчете об инцидентах безопасности компании.
• Если вы защитник кибербезопасности, почему бы не послушать экспертное заключение от исследователя кибербезопасности Sophos Честера Вишневски о том, как защитить свою собственную ИТ-инфраструктуру от такого рода атак типа «взять плацдарм и уйти оттуда»?

В подкасте ниже (есть полная стенограмма если вы предпочитаете читать, а не слушать), Честер обсуждает подобное нарушение это произошло в сентябре 2022 года в компании Uber, занимающейся заказом такси, и напоминает вам, почему «разделяй и властвуй», также известный под жаргонным термином нулевое доверие, является важной частью современной киберзащиты.

Как объясняет Честер, даже несмотря на то, что все взломы причиняют некоторый вред либо вашей репутации, либо вашей прибыли, результат неизбежно будет намного хуже, если мошенники, получившие доступ к некоторые вашей сети могут перемещаться где угодно, пока не получат доступ к Найти из него.