データ侵害の暴露が数カ月に及んだことを受けて、LastPass は、同じ攻撃者が従業員のコンピュータをハッキングし、復号化されたパスワード保管庫を盗んだと発表した。
同社は次のように報告した。セキュリティインシデント2022年8月には、LastPassがアーカイブされたバックアップの保存に使用しているサードパーティのクラウドベースのストレージサービスに不正な人物がアクセスしたと発表した。一部の顧客データはアクセスされたが、LastPass は、暗号化されたアーキテクチャによりパスワードは安全に保たれたと述べた。
さて、報告書同社は火曜日、同じ攻撃者が従業員の自宅コンピュータをハッキングし、少数の社内開発者のみが利用できる復号化された保管庫を盗んだと発表した。このボールトにより、Amazon S3 バケットに保存されている顧客のボールト バックアップの暗号化キーを含む共有クラウド ストレージ環境へのアクセスが可能になりました。
「これは、DevOps エンジニアの自宅コンピュータをターゲットにし、脆弱なサードパーティのメディア ソフトウェア パッケージを悪用することで達成されました。これにより、リモート コード実行機能が有効になり、攻撃者がキーロガー マルウェアを埋め込むことが可能になりました」と LastPass は書いています。 「脅威アクターは、従業員が MFA で認証された後、入力されたマスター パスワードを捕捉し、DevOps エンジニアの LastPass 企業ボルトにアクセスすることができました。」
月曜日の報告書によると、最初の事件の戦術、技術、プロセスは、2番目の事件で利用されたものとは異なっていた。その結果、捜査員らは当初、この2人に関連性があるとは明らかにならなかった。
ハッカーは最初のイベントのデータを悪用し、2 番目のインシデント中に S3 バケットに保存されていたデータを流出させました。 Amazon は、攻撃者が Cloud Identity and Access Management (IAM) ロールを使用して不正なアクティビティを実行しようとしたときの「異常な動作」に気づき、LastPass に通知しました。
12月、LastPass CEOのKarim Toubba氏は、ハッカーはコピーされたデータ顧客アカウント情報と、会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、IP アドレスなどの関連メタデータを含むバックアップから。
ハッカーは顧客の保管庫データのコピーも作成したが、LastPass はそれが「独自のバイナリ形式で保存されていた」と述べた。同社は、ハッカーがデータを復号できる可能性は非常に低いと主張しているが、フィッシングやソーシャルエンジニアリング攻撃の標的になる可能性があるとユーザーに警告している。
LastPass は顧客の資格情報は暗号化されており安全であると主張していましたが、ユーザーは予防措置として、ボールトにログインするためのマスター パスワードと、Web サイトやその他のログイン用のパスワードを更新する必要があります。さらに、ユーザーは別のパスワード マネージャーに切り替える可能性があります。iCloud キーチェーン、Bitwarden、または 1Password。
LastPass は、ユーザーのマスター パスワードを解読するには何百万年もかかると主張しましたが、競合他社が信じている所要時間はほんのわずかで、わずか 100 ドルで完了できるということです。 1Password のプリンシパル セキュリティ アーキテクト、Jeffrey Goldberg 氏はブログ投稿で、LastPass は顧客データの保護に十分な努力をしていないと書いています。
「考えられる 12 文字のパスワードをすべて考慮すると、およそ 2^72 の可能性があります。すべてを試すには何百万年もかかるでしょう。実際、もっと長い時間がかかるでしょう。」と彼は書いています。 「しかし、人間が作成したパスワードを解読する人々は、そのようにはしません。彼らは、最も可能性の高いパスワードを最初に試すようにシステムを設定しています。」
LastPassは、セキュリティ手順が疑わしいとしてすでに批判にさらされている。 2021 年 12 月に LastPassメンバーが報告したさまざまな場所から正しいマスターパスワードを使用してログインが複数回試行されました。
同社は、攻撃はサードパーティの侵害によってパスワードが漏洩した結果であると顧客に保証しました。そして 2021 年 2 月、セキュリティ研究者は次のことを発見しました。七人の追跡者LastPass Android アプリ内でアプリ分析を行います。
Isamu 
Isamu 
Isamu