مهاجمان با هک کامپیوتر خانگی یکی از کارکنان، اطلاعات LastPass را به سرقت بردند

LastPass می‌گوید که یک عامل تهدید با هک رایانه شخصی کارمند و نصب بدافزار Keylogger که به آنها امکان دسترسی به فضای ذخیره‌سازی ابری شرکت را می‌دهد، توانست داده‌های شرکت‌ها و مشتریان را به سرقت ببرد. این به روز رسانی اطلاعات بیشتری در مورد چگونگی وقوع یک سری هک در سال گذشته ارائه می دهد که منجر به سرقت کد منبع مدیر رمز عبور محبوب و داده های انبار مشتری توسط شخص ثالث غیرمجاز شد.

در آگوست گذشته، LastPass به کاربران خود از یک “حادثه امنیتی” اطلاع داد که در آن یک شخص ثالث غیرمجاز از یک حساب توسعه دهنده در معرض خطر برای دسترسی به کد منبع مدیر رمز عبور و “برخی اطلاعات فنی اختصاصی LastPass” استفاده کرد. این شرکت بعداً در ماه نوامبر دومین نقض امنیتی را فاش کرد و اعلام کرد که هکرها به یک سرویس ذخیره‌سازی ابری شخص ثالث که توسط مدیر رمز عبور استفاده می‌شود دسترسی پیدا کرده‌اند و می‌توانند «به عناصر خاصی» از «اطلاعات مشتریان» دسترسی پیدا کنند.

در 22 دسامبر، LastPass فاش کرد که هکرها از اطلاعات مربوط به اولین رخنه در ماه آگوست برای دسترسی به سیستم‌های خود در دومین حادثه در نوامبر استفاده کرده‌اند و مهاجم می‌تواند یک نسخه پشتیبان از داده‌های خزانه مشتری تا حدی رمزگذاری شده حاوی URLهای وب‌سایت، نام‌های کاربری، کپی کند. و رمزهای عبور LastPass سپس به کاربران خود توصیه کرد که همه رمزهای عبور ذخیره شده خود را به عنوان “یک اقدام ایمنی اضافی” تغییر دهند، علیرغم اینکه گذرواژه ها هنوز با رمز عبور اصلی حساب محافظت می شوند.

در حال حاضر، LastPass فاش کرده است که عامل تهدید مسئول هر دو نقض امنیتی “به طور فعال در یک سری جدید از فعالیت های شناسایی، شمارش، و استخراج” بین 12 اوت و 26 اکتبر شرکت داشته است. در طول این مدت، مهاجم اعتبارنامه‌های معتبری را از یک مهندس ارشد DevOps سرقت کرد تا به فضای ذخیره‌سازی ابری مشترک که حاوی کلیدهای رمزگذاری برای پشتیبان‌گیری از انبار مشتری ذخیره شده در سطل‌های Amazon S3 است دسترسی پیدا کند. استفاده از این مدارک به سرقت رفته تشخیص فعالیت مشروع و مشکوک را دشوار می کرد.

فقط چهار مهندس DevOps به کلیدهای رمزگشایی مورد نیاز برای دسترسی به سرویس ذخیره سازی ابری دسترسی داشتند. یکی از مهندسان با سوء استفاده از بسته نرم افزاری آسیب پذیر رسانه شخص ثالث (ناشناس) روی رایانه خانگی خود و نصب بدافزار کی لاگر مورد هدف قرار گرفت. Ars Technica گزارش می دهد که رایانه احتمالاً از طریق پلتفرم رسانه ای Plex هک شده است، که به طور مشابه، بلافاصله پس از اینکه LastPass اولین حادثه خود را در ماه اوت فاش کرد، نقض داده را گزارش کرد. هیچ یک از شرکت ها این موضوع را تایید نکرده اند. ما برای شفاف‌سازی با LastPass و Plex تماس گرفته‌ایم و در صورت شنیدن پاسخ، این داستان را به‌روزرسانی خواهیم کرد.

پس از نصب کی لاگر، LastPass می گوید که عامل تهدید “توانست رمز عبور اصلی کارمند را همانطور که وارد کرده بود، پس از احراز هویت کارمند با [multifactor authentication]و به خزانه شرکتی LastPass مهندس DevOps دسترسی پیدا کنید.” این شرکت از آن زمان اقدامات بیشتری را برای ایمن سازی پلتفرم خود انجام داده است، از جمله لغو گواهی ها و چرخش اعتبارنامه های شناخته شده برای عامل تهدید و اجرای ثبت گزارش و هشدار اضافی در فضای ذخیره سازی ابری خود.

در کنار این اعلامیه، LastPass لیست کاملی از داده هایی را که در هر دو نقض امنیتی در یک صفحه پشتیبانی اختصاصی به خطر افتاده است، منتشر کرده است. Bleeping Computer گزارش می دهد که LastPass تلاش هایی را برای پنهان کردن این اطلاعات انجام داده است، با این حال، اشاره می کند که برچسب های HTML به سند اضافه شده است تا از ایندکس شدن به روز رسانی ها توسط موتورهای جستجو جلوگیری کند. LastPass علاوه بر این، یک PDF حاوی جزئیات بیشتر در مورد حوادث سال گذشته به همراه دو بولتن امنیتی اضافی – یکی برای مشتریان LastPass Free، Premium و Families و دیگری برای مدیران تجاری – با اقدامات توصیه شده برای ایمن سازی حساب های شما منتشر کرده است.