LastPass员工PC被键盘记录器入侵以访问密码库

2023年2月27日,拥有超过3000万用户和85000名企业客户的LastPass证实,它遭到了之前破坏其安全并部分访问加密登录数据的同一威胁行为者的攻击。

正如我们所知,LastPass是一款出色的密码管理软件。该公司声称其一名DevOps工程师的PC遭到黑客攻击,以从其云存储资源中窃取公司数据。

身份不明的攻击者将2022年8月第一次泄露事件中窃取的数据与第三方泄露事件的数据以及第三方媒体软件包中的漏洞结合起来,发起了协同攻击。

值得注意的是,LastPass数据泄露事件已经有一段时间了。2023年1月,GoTo旗下的LastPass解决了2022年11月的数据泄露事件,并宣布黑客窃取了客户的加密数据。

2022年12月下旬,LastPass宣布再次遭到破坏,黑客成功窃取了用户数据和加密密码库。2022年12月初,这家密码管理器巨头宣布再次遭遇数据泄露事件,该公司在与GoTo共享的云存储上检测到异常活动。

2022年8月,LastPass宣布又一次网络攻击,称黑客成功窃取了其源代码;但是,没有客户数据被盗。

LastPass与Mandiant的事件响应团队合作进行取证,检测到攻击者以DevOps工程师的家用电脑为目标,利用易受攻击的第三方媒体3rd party media软件包获取远程代码执行能力并安装键盘记录器。

攻击者可以窃取员工的主密码并使用MFA对其进行身份验证,之后他们可以访问受害者的LastPass公司保险库。值得注意的是,受害者是LastPass的四名员工之一,他们可以访问公司的公司金库。

在其官方声明中,GoTo旗下的LastPass解释了其调查结果,内容如下:
“威胁行为者从2022年8月12日结束的第一起事件开始,但积极参与了从2022年8月12日到10月26日与云存储环境一致的一系列新的侦察、枚举和渗漏活动。”

攻击者拥有解密的保管库,因此他们导出了条目,包括解密密钥。使用这些密钥,攻击者可以访问一个共享的云存储环境,该公司将客户保险库备份和加密密钥存储在Amazon S3存储桶中。

据LastPass称,解密密钥使攻击者能够窃取AWS S3 LastPass生产备份、关键数据库备份和基于云的存储资源。

发表评论

评论已关闭。

相关文章