Η LastPass ανακοίνωσε την Δευτέρα ότι ο ίδιος εισβολέας παραβίασε τον οικιακό υπολογιστή ενός υπαλλήλου της και απέκτησε ένα αποκρυπτογραφημένο θησαυροφυλάκιο διαθέσιμο σε λίγους μόνο προγραμματιστές της εταιρείας.
Αν και η αρχική εισβολή στην LastPass υποτίθεται ότι έληξε στις 12 Αυγούστου, αξιωματούχοι δήλωσαν ότι ο hacker “συμμετείχε ενεργά σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, απαρίθμησης και διήθησης” από τις 12 Αυγούστου έως τις 26 Αυγούστου.
Ο άγνωστος εισβολέας μπόρεσε να κλέψει έγκυρα διαπιστευτήρια από έναν ανώτερο μηχανικό DevOps και να αποκτήσει πρόσβαση στα περιεχόμενα ενός θησαυροφυλακίου δεδομένων της LastPass. Μεταξύ άλλων, το θησαυροφυλάκιο παρείχε πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης cloud που περιείχε τα κλειδιά κρυπτογράφησης για τα αντίγραφα ασφαλείας του θησαυροφυλακίου πελατών που ήταν αποθηκευμένα σε κάδους του Amazon S3.
“Αυτό επιτεύχθηκε στοχεύοντας τον οικιακό υπολογιστή ενός μηχανικού και αξιοποιώντας ένα ευάλωτο πακέτο λογισμικού πολυμέσων τρίτων, το οποίο έδωσε τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και επέτρεψε στον επιτιθέμενο να εμφυτεύσει κακόβουλο λογισμικό keylogger”, αναφέρουν στελέχη της LastPass. “Ο επιτιθέμενος μπόρεσε να καταγράψει τον κύριο κωδικό πρόσβασης του υπαλλήλου καθώς τον έγραφε, και απέκτησε πρόσβαση στο εταιρικό θησαυροφυλάκιο LastPass του μηχανικού”.
Ο μηχανικός που παραβιάστηκε ο υπολογιστής του ήταν ένας από τους μόλις τέσσερις υπαλλήλους της LastPass με πρόσβαση στο εταιρικό θησαυροφυλάκιο. Μόλις απέκτησε το αποκρυπτογραφημένο θησαυροφυλάκιο, ο επιτιθέμενος εξήγαγε τις εγγραφές, και τα “κλειδιά αποκρυπτογράφησης που απαιτούνται για την πρόσβαση στα αντίγραφα ασφαλείας του AWS S3, άλλους πόρους αποθήκευσης που βασίζονται σε σύννεφο αλλά και ορισμένα σχετικά κρίσιμα αντίγραφα ασφαλείας βάσης δεδομένων”.
