Представители менеджера паролей LastPass рассказали о подробностях взлома, в ходе которого хакеры получили доступ к стороннему облачному хранилищу с архивными резервными копиями данных компании.
По данным расследования, злоумышленник получил доступ к облачной среде хранения, используя информацию, полученную в результате инцидента в августе 2022 года. Тогда были украдены код и техническая информация среды разработки, которую хакер использовал для фишинговой атаки на сотрудника LastPass. В итоге он получил учётные данных и ключи, используемые для доступа и расшифровки некоторых томов хранилища в облачной службе хранения.
Производственные сервисы LastPass в настоящее время работают в локальных центрах обработки данных с облачным хранилищем, используемым для хранения резервных копий и соблюдения региональных требований к расположению информации. Служба облачного хранилища, к которой обращается злоумышленник, физически отделена от производственной среды, утверждают в LastPass.
После получения ключа доступа к облачному хранилищу хакер скопировал информацию из резервной копии, которая содержала базовые данные об учётной записи клиента и связанные метаданные, включая названия компаний, имена конечных пользователей, платёжные адреса, электронную почту, номера телефонов и IP-адреса, с которых клиенты получали доступ к службе LastPass.
Злоумышленник также смог скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера, который хранится в проприетарном двоичном формате с незашифрованными данными, такими как URL-адреса веб-сайтов, и полностью зашифрованными данными, такими как имена пользователей и пароли. Эти поля остаются защищёнными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа, полученного из мастер-пароля каждого пользователя. Шифрование и дешифрование данных выполняется только на локальном клиенте LastPass.
Как предупреждают представители менеджера паролей, злоумышленник может попытаться применить методы взлома, чтобы подобрать мастер-пароль и расшифровать копии данных хранилища. Компания регулярно тестирует новейшие технологии взлома паролей на соответствие её алгоритмам.
Злоумышленник также может нацеливаться на клиентов с помощью фишинговых атак, подмены учётных данных или других атак, связанных с хранилищем LastPass. Представители менеджера предупредили, что они никогда не будут звонить, отправлять электронные письма или отправлять текстовые сообщения пользователям с просьбой перейти по ссылке для подтверждения личной информации. За исключением случаев входа в хранилище из клиента LastPass менеджер никогда не запрашивает мастер-пароль. В LastPass напомнили, что текущие требования предусматривают использование как минимум двенадцати символов для мастер-паролей.
Также менеджер использует более надёжную, чем обычно, реализацию итераций функции создания ключа на основе пароля (PBKDF2), алгоритма усиления пароля, который затрудняет его угадывание. Текущее количество итераций PBKDF2 для учётной записи всегда можно проверить.
Наконец, LastPass рекомендует никогда не использовать мастер-пароль повторно на других веб-сайтах.
В менеджере подчеркнули, что злоумышленник не имел доступа к ключевым фрагментам, хранящимся в инфраструктуре Customer Identity Provider или LastPass, и, если пользователи внедрили Federated Login Services, то им не нужно предпринимать никаких дополнительных действий.
Чтобы исключить доступ к среде разработки LastPass, менеджер создаёт новую с дополнительными возможностями ведения журнала и оповещениями для обнаружения любой несанкционированной активности.
Компания уведомила правоохранительные органы и соответствующие регулирующие органы об этом инциденте.
Ранее в LastPass признали, что злоумышленники смогли взломать платформу дважды за четыре месяца.
