LastPass发布了有关去年发生的几起安全事件的最新调查,这些事件听起来比之前想象的要严重。显然,参与这些事件的不良行为者还通过利用第三方媒体软件包渗透到公司 DevOps 工程师的家用计算机中。他们在软件中植入了一个键盘记录器,然后用它来捕获工程师的主密码,用于访问 LastPass 公司保险库的帐户。进入后,他们导出了保险库的条目和共享文件夹,其中包含使用客户保险库备份解锁基于云的 Amazon S3 存储桶所需的解密密钥。
LastPass 调查的最新更新让我们更清楚地了解它去年经历的两起安全漏洞事件是如何联系在一起的。如果您还记得的话,LastPass 在 2022 年 8 月透露,“未经授权的一方”进入了其系统。虽然第一起事件于 8 月 12 日结束,但该公司在其新公告中表示,威胁行为者“积极参与了从 2022 年 8 月 12 日到 10 月期间与云存储环境一致的一系列新的侦察、枚举和渗漏活动2022 年 26 日。”
当该公司在 12 月宣布第二次安全漏洞时,它表示不良行为者使用从第一次事件中获得的信息进入其云服务。它还承认,黑客窃取了大量敏感信息,包括其 Amazon S3 存储桶。为了能够访问保存在这些存储桶中的数据,黑客需要解密密钥保存在“LastPass 密码管理器保险库中高度受限的共享文件夹集中”。这就是为什么坏人将目标对准了四名 DevOps 工程师中的一位,他们有权访问解锁公司云存储所需的密钥。
在该公司(通过BleepingComputer )发布的支持文档(PDF) 中,它详细说明了威胁行为者在两次事件中访问的数据。显然,第二次泄露期间访问的基于云的备份包括“API 机密、第三方集成机密、客户元数据和所有客户保险库数据的备份”。该公司坚称,除某些例外情况外,所有敏感的客户保险库数据“只能使用从每个用户的主密码派生的唯一加密密钥进行解密。”该公司补充说,它不存储用户的主密码。 LastPass 还详细介绍了它为加强未来防御所采取的步骤,包括修改其威胁检测和“拨款数百万美元以加强 [its] 在人员、流程和技术方面的安全投资。”