LastPass數據泄露事件最新細節,工程師電腦被植入鍵盤記錄器
前不久曾報道過知名密碼管理軟件——LastPass發生的一起嚴重數據泄露事件。而在最近,LastPass關于其數據泄露事件的調查又有了新進展。據其透露,攻擊者最初是感染了LastPass一名DevOps工程師的個人電腦,隨后從其Amazon AWS云存儲服務器中竊取了敏感數據。
LastPass被個人和企業用來安全地存儲及管理密碼,并因其高水平的安全性而受到信賴。但在去年,攻擊者從其云存儲中導出了敏感的基本客戶帳戶信息,如公司名稱、用戶名、地址、電子郵件地址、電話號碼,以及客戶訪問LastPass服務的IP地址等。網絡安全產品測評網站 Security.org 對一千多名美國人進行的一項調查顯示,2021年最受歡迎的密碼管理工具LastPass在2022年下滑到第四位。
根據LastPass最近發布的公告,僅有四名工程師能夠訪問LastPass AWS云存儲服務所需的解密密鑰。(云備份包括未加密的客戶帳戶信息以及使用256位AES加密保護的敏感字段)
而黑客的攻擊就通過針對這些DevOps工程師的個人電腦,并利用易受攻擊的第三方媒體軟件包來實現。該軟件包啟用了遠程代碼執行功能,借此攻擊者能在工程師的設備上植入鍵盤記錄器惡意軟件。在工程師通過MFA進行身份驗證后,攻擊者能夠在其輸入時捕獲工程師的主密碼,繼而獲取了對DevOps工程師的LastPass公司保險庫的訪問權限。
接著,攻擊者從中導出了數據保險庫和共享文件夾的內容,其中包含加密的安全注釋、AWS S3 LastPass生產備份、其他基于云的存儲資源以及一些相關關鍵數據庫備份所需的訪問和解密密鑰。
由于攻擊者使用的是有效的憑據,這使得LastPass很難檢測到其入侵行為,并使該攻擊者有充足的時間從LastPass的云存儲服務器竊取數據。據報道,攻擊者訪問該系統達兩個多月。在事件的最后,當攻擊者嘗試使用身份識別和訪問管理(IAM)執行未經授權的任務時,LastPass通過AWS GuardDuty警報檢測到了異常行為。
LastPass表示,它已經更新了其安全系統,采取的措施包括輪換敏感憑據和身份驗證密鑰、吊銷證書、添加額外的警報日志以及更嚴格的安全策略。另外,LastPass的客戶最好更改主密碼以及存儲在其密碼保險庫中的所有密碼。
