由于惡意黑客竊取并使用了有效的訪問憑證，LastPass的安全人員難以檢測到對手活動，導致其從LastPass的云存儲服務器處訪問并竊取到大量數據，持續駐留達兩個月以上。

3月2日消息，密碼管理供應商LastPass日前公布了去年遭受“二次協同攻擊”事件的更多信息，發現惡意黑客潛伏在其內網長達兩個月的時間內，持續訪問并竊取了亞馬遜AWS云存儲中的數據。

據安全內參了解，“二次協同攻擊”事件，是指LastPass在2022年8月、12月先后披露的兩起違規事件，這兩起事件的攻擊鏈有關聯。

關鍵運維員工遭定向攻擊

LastPass在去年12月透露，惡意黑客竊取到部分加密的密碼保險庫數據和客戶信息。現在，該公司進一步解釋了惡意黑客的攻擊實施方法，稱對方使用到了去年8月首次入侵時竊取的信息，還利用一個遠程代碼執行漏洞，在一名高級DevOps工程師的計算機上安裝了鍵盤記錄器。

LastPass表示，二次協同攻擊利用到了首輪違規中外泄的數據，并訪問了該公司經過加密的Amazon S3存儲桶。

LastPass公司只有4位DevOps工程師有權訪問這些解密密鑰，因此惡意黑客將矛頭指向了其中一名工程師。最終，黑客利用第三方媒體軟件包中的遠程代碼執行漏洞，在該員工的設備上成功安裝了鍵盤記錄器。

 “惡意黑客成功獲取了員工在完成多因素身份驗證（MFA）后輸入的主密碼（master password），借此獲得了該DevOps工程師對LastPass企業密碼保險庫的訪問權。”LastPass日前發布的最新安全警告稱。

“惡意黑客隨后導出了共享文件夾中的本地企業密碼保險庫條目和內容，其中包括能夠訪問LastPass AWS S3生產備份、其他云存儲資源以及部分相關重要數據庫備份的安全注釋和加密密鑰。”

由于惡意黑客竊取并使用了有效的訪問憑證，LastPass的調查人員很難檢測到對方活動，導致其順利從LastPass的云存儲服務器處訪問并竊取到大量數據。惡意黑客甚至持續駐留達兩個月以上，從2022年8月12日一直到2022年10月26日。

直到惡意黑客嘗試用云身份和訪問管理（IAM）角色執行未授權操作時，LastPass才最終通過AWS GuardDuty警報檢測到這些異常行為。

該公司表示，他們已經更新了安全機制，包括對敏感憑證及身份驗證密鑰/令牌進行輪換、撤銷證書、添加其他記錄與警報，以及執行更嚴格的安全策略等。

大量數據已被訪問

作為此次披露的一部分，LastPass還發布了關于攻擊中哪些客戶信息遭到竊取的具體說明。

根據特定客戶的不同，失竊數據的范圍很廣且內容多樣，包括多因素身份驗證（MFA）種子值、MFA API集成secreet，以及為聯合企業客戶提供的Split Knowledge組件（K2）密鑰。

以下是被盜數據內容的基本概括，更詳細的失竊信息說明請參閱LastPass支持頁面（https://support.lastpass.com/help/what-data-was-accessed）。

事件1中被訪問的數據匯總

云端按需開發和源代碼倉庫——包括全部200個軟件代碼倉庫中的14個。

來自各代碼倉庫的內部腳本——其中包含LastPass secrets和證書。

內部文檔——描述開發環境運作方式的技術信息。

事件2中被訪問的數據匯總

DevOps secrets——用于訪問我們云端備份存儲的受保護secrets。

云備份存儲——包含配置數據API secrets、第三方集成secrets客戶元數據，以及所有客戶保險庫數據的備份。除URL、用于安裝LastPass Windows/macOS版軟件以及涉及郵件地址的特定用例之外，全部敏感客戶保險庫數據均通過“零知識架構”進行加密，且只能通過各用戶主密碼提供的唯一加密密鑰實現解密。請注意，LastPass永遠不會獲取最終用戶的主密碼，也不會存儲或持有主密碼——因此，泄露數據中不涉及任何主密碼。

LastPass MFA/聯邦數據庫備份——包含LastPass Authenticator的種子值副本，作為MFA備份選項（如果啟用）的電話號碼，以及供LastPass聯邦數據庫（如果啟用）使用的Split Knowledge組件（即K2「密鑰」）。該數據庫經過加密，但在第二次違規事件中，惡意黑客竊取了單獨存儲的解密密鑰。

本次發布的支持公告還相當“隱蔽”，由于LastPass公司在公告頁面的HTML標簽添加了，因此該頁面無法通過搜索引擎直接檢索。

LastPass還發布一份題為“安全事件更新與建議操作”的PDF文檔，其中包含關于違規和失竊數據的更多信息。

該公司也整理了支持文件，面向免費、付費和家庭客戶以及LastPass Business管理員提供應對建議。

通過公告中的建議操作，應可進一步保障您的LastPass賬戶與相關集成。