Команда менеджера паролей LastPass рассказала, что злоумышленники смогли взломать платформу во второй раз за четыре месяца.
Компания пояснила, что злоумышленники использовали информацию из предыдущего взлома, чтобы получить доступ к некоторым элементам данных клиентов LastPass. Разработчики LastPass сообщили, что пароли клиентов не были скомпрометированы и остаются надёжно зашифрованными благодаря IT-архитектуре LastPass Zero Knowledge (с нулевым разглашением).
В LastPass уведомили об инциденте правоохранительные органы и снова позвали специалистов по кибербезопасности Mandiant для расследования второго взлома. В настоящий момент эксперты LastPass и Mandiant оценивают степень ущерба и проводят внутренний анализ взломанных систем.
Менеджер паролей LastPass используют во всё мире более 33 млн пользователей и 100 тыс. компаний.
В августе команда LastPass сообщила о серьёзном инциденте безопасности. Хакеры с помощью скомпрометированной учётной записи одного из разработчиков смогли проникнуть внутрь закрытого периметра компании, скопировать исходные коды проектов и проприетарную техническую информацию. LastPass после атаки заявила, что нет никаких доказательств компрометации данных клиентов или зашифрованных хранилищ паролей.
В сентябре в LastPass раскрыли детали августовского взлома и рассказали, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Тогда в ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам. «Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснили в компании.
Также в рамках избежания подобных инцидентов в компании усилили средства контроля и мониторинга защиту конечных рабочих станций разработчиков, а также развернули дополнительные системы анализа угроз, включая усовершенствованные технологии обнаружения и предотвращения атак в средах разработки и в рабочей среде. Оказалось, что это не помогло против второго взлома.
