LastPass披露第二次攻击导致加密密码保管库被破坏

LastPass在2022年12月披露了一次严重的数据泄露，允许威胁参与者进入加密密码库。该公司表示，这是同一对手对其系统发起第二次攻击的结果。

该公司表示，其一名DevOps工程师的个人家用电脑被攻破，并被键盘记录器感染，这是一次持续的网络攻击的一部分。网络攻击从亚马逊的AWS云存储服务器上泄露了敏感数据。

密码管理服务机构表示：“威胁行为者利用了在第一次事件中窃取的信息、从第三方数据泄露中获得的信息，以及第三方媒体软件包中的漏洞，从而发起了协调一致的第二次攻击。”

从2022年8月12日至2022年10月26日，该公司的基础设施、资源和一名员工受到了这一入侵。另一方面，最初的事件于2022年8月12日结束。

8月份的入侵事件使入侵者通过一个受威胁的雇员帐户从其开发环境中访问源代码和专有技术信息。

2022 年 12 月，LastPass 透露，威胁行为者利用被盗信息访问基于云的存储环境并掌握“我们客户信息的某些元素”。

同月晚些时候，未知攻击者被披露为已获得客户保险库数据备份的访问权限，据称该备份使用256位AES加密进行保护。它没有透露备份的最新情况。

LastPass的母公司GoTo上个月也承认了由于未经授权访问第三方云存储服务而导致的违规行为。

现在据该公司称，威胁行为者在 2022 年 8 月至 10 月期间针对其云存储服务进行了一系列新的“侦察、枚举和渗透活动”。

“具体来说，威胁行为者能够利用从高级DevOps工程师那里窃取的有效凭据来访问共享的云存储环境，”LastPass说，并补充说工程师“可以访问访问云存储服务所需的解密密钥。

它进一步指出，这允许恶意行为者获得对AWS S3存储桶的访问权限，这些存储桶包含LastPass客户备份和加密的保管库数据。

据说该员工的密码是通过针对个人的家用计算机并利用“易受攻击的第三方媒体软件包”来实现远程代码执行并植入键盘记录软件而窃取的。

“在员工通过 MFA 进行身份验证后，威胁参与者能够在输入时捕获员工的主密码，并访问 DevOps 工程师的 LastPass 公司保管库，”LastPass 说。

LastPass 没有透露所使用的第三方媒体软件的名称，但有迹象表明，根据它在 2022 年 8 月下旬遭受了自己的破坏，它可能是 Plex。

在事件发生后，LastPass表示，它通过旋转关键和高权限凭据和重新颁发威胁行为者获得的证书来升级其安全态势，并应用额外的S3硬化措施来落实日志记录和警报机制。

强烈建议LastPass用户更改他们的主密码和存储在保险库中的所有密码，以降低潜在风险，如果还没有这样做的话。