LastPass 透露了有关“协调的第二次攻击”的更多信息,威胁行为者在该攻击中访问并从亚马逊 AWS 云存储服务器窃取了两个多月的数据。
LastPass 在 12 月披露了一起漏洞,威胁行为者窃取了部分加密的密码保险库数据和客户信息。
该公司现已披露了威胁行为者是如何实施此次攻击的,称他们使用了在 8 月一次数据泄露事件中窃取的信息、另一次数据泄露事件中的信息以及一个远程代码执行漏洞,在高级 DevOps 工程师的计算机上安装了键盘记录程序。
LastPass 表示,第二次协同攻击使用从第一次违规中窃取的数据来访问公司的加密 Amazon S3 存储桶。
由于只有四名 LastPass DevOps 工程师可以访问这些解密密钥,因此威胁行为者将其中一名工程师作为目标。 最终,黑客利用第三方媒体软件包中的远程代码执行漏洞,成功在该员工的设备上安装了键盘记录器。
“在员工通过 MFA 进行身份验证后,威胁参与者能够在输入时捕获员工的主密码,并获得对 DevOps 工程师的 LastPass 公司保险库的访问权限,”今天发布的新安全公告中写道。
“威胁行为者随后导出了本地企业保险库条目和共享文件夹的内容,其中包含加密的安全注释以及访问 AWS S3 LastPass 生产备份、其他基于云的存储资源以及一些相关的访问和解密密钥 关键数据库备份。”
使用有效凭据使公司调查人员难以检测威胁行为者的活动,从而使黑客能够在 2022 年 8 月 12 日至 10 月 26 日之间的两个多月内访问和窃取 LastPass 云存储服务器中的数据 , 2022.
当威胁行为者试图使用 Cloud Identity and Access Management (IAM) 角色执行未经授权的活动时,LastPass 最终通过 AWS GuardDuty Alerts 检测到异常行为。
该公司表示,他们已经更新了他们的安全态势,包括轮换敏感凭证和身份验证密钥/令牌、吊销证书、添加额外的日志记录和警报,以及实施更严格的安全政策。
访问了大量数据
作为今天披露的一部分,LastPass 发布了有关哪些客户信息在攻击中被盗的更多详细信息。
根据特定客户的不同,这些数据范围广泛且多种多样,从多因素身份验证 (MFA) 种子、MFA API 集成机密,到联合企业客户的拆分知识组件(“K2”)密钥。
下面是被盗数据的完整列表,支持页面上有更详细、更易于阅读的图表。
事件 1 中访问的数据摘要:
按需、基于云的开发和源代码存储库 – 这包括 200 个软件存储库中的 14 个。
来自存储库的内部脚本 – 其中包含 LastPass 秘密和证书。
- 内部文档 – 描述开发环境如何运行的技术信息。
事件 2 中访问的数据摘要:
DevOps Secrets – 用于访问我们基于云的备份存储的受限秘密。
基于云的备份存储 – 包含配置数据、API 机密、第三方集成机密、客户元数据和所有客户保险库数据的备份。 所有敏感的客户保险库数据,除了 URL、安装的 LastPass Windows 或 macOS 软件的文件路径,以及涉及电子邮件地址的某些用例,都使用我们的零知识模型加密,并且只能使用从每个用户的主人派生的唯一加密密钥解密 密码。 提醒一下,LastPass 永远不知道最终用户的主密码,也不会由 LastPass 存储或维护——因此,它们不包含在泄露的数据中。
LastPass MFA/Federation Database 的备份 – 包含 LastPass Authenticator 种子的副本、用于 MFA 备份选项的电话号码(如果启用),以及拆分知识组件(K2“密钥 ”)用于 LastPass 联盟(如果启用)。 该数据库已加密,但单独存储的解密密钥包含在威胁参与者在第二次事件中窃取的机密中。
今天所有的支持公告都不容易找到,它们都没有在搜索引擎中列出,因为该公司添加了 HTML 标签到 防止它们被搜索引擎编入索引的文档。
LastPass 发布了一份名为“安全事件更新和建议措施”的 PDF,其中包含有关违规和被盗数据的更多信息。
该公司还创建了支持文档,其中包含应为免费、高级和家庭客户以及 LastPass 业务管理员采取的建议操作。
这些公告包含进一步强化 LastPass 帐户和集成的建议步骤。
22 年 2 月 28 日更新:添加了额外的资源链接。
如若转载,请注明出处:https://www.ozabc.com/it/535150.html