LastPass logo over a password vault

LastPass は、攻撃者が 2 か月以上にわたって Amazon AWS クラウド ストレージ サーバーにアクセスしてデータを盗んだ「組織的な 2 番目の攻撃」に関する詳細情報を明らかにしました。

LastPass は 12 月に、攻撃者が部分的に暗号化されたパスワード ボールト データと顧客情報を盗んだ侵害を明らかにしました

同社は現在、攻撃者がこの攻撃をどのように実行したかを明らかにし、 8 月の侵害で盗まれた情報、別のデータ侵害からの情報、およびリモート コード実行の脆弱性を使用して、シニア DevOps エンジニアのコンピューターにキーロガーをインストールしたと述べています。

LastPass によると、この 2 回目の組織的な攻撃では、最初の侵害で盗まれたデータを使用して、同社の暗号化された Amazon S3 バケットにアクセスしたという。

これらの復号化キーにアクセスできる LastPass DevOps エンジニアは 4 人しかいなかったため、攻撃者はそのうちの 1 人を標的にしました。最終的に、ハッカーはサードパーティのメディア ソフトウェア パッケージのリモート コード実行の脆弱性を悪用して、従業員のデバイスにキーロガーをインストールすることに成功しました。

「脅威アクターは、従業員が MFA で認証された後、入力された従業員のマスター パスワードを取得し、DevOps エンジニアの LastPass コーポレート ボールトにアクセスすることができました」と、本日公開された新しいセキュリティ アドバイザリを読みます。

「攻撃者はその後、AWS S3 LastPass 本番バックアップ、その他のクラウドベースのストレージ リソース、およびいくつかの関連する重要なデータベース バックアップにアクセスするために必要なアクセス キーと復号化キーを含む、暗号化された安全なメモを含む、ネイティブの企業 Vault エントリと共有フォルダーのコンテンツをエクスポートしました。 .”

有効な資格情報を使用しているため、同社の調査員は攻撃者の活動を検出することが難しくなり、ハッカーは 2022 年 8 月 12 日から 2022 年 10 月 26 日までの 2 か月以上にわたって LastPass のクラウド ストレージ サーバーにアクセスしてデータを盗むことができました。

最終的に、LastPass は AWS GuardDuty アラートを介して異常な動作を検出しました。攻撃者が Cloud Identity and Access Management (IAM) ロールを使用して不正なアクティビティを実行しようとしたときです。

同社はその後、機密性の高い資格情報と認証キー/トークンのローテーション、証明書の取り消し、追加のログとアラートの追加、より厳格なセキュリティ ポリシーの適用など、セキュリティ体制を更新したと述べています。

大量のデータにアクセスした

本日の開示の一環として、LastPass は、攻撃でどのような顧客情報が盗まれたかについて、より詳細な情報を公開しました。

特定の顧客に応じて、このデータは多要素認証 (MFA) シード、MFA API 統合の秘密、フェデレーション ビジネス顧客向けのスプリット ナレッジ コンポーネント (「K2」) キーに至るまで、幅広く多様です。

盗まれたデータの完全なリストを以下に示します。サポート ページには、より詳細で読みやすいグラフが掲載されています。

インシデント 1 でアクセスされたデータの概要:

  • オンデマンドのクラウドベースの開発およびソース コード リポジトリ– これには、200 のソフトウェア リポジトリのうち 14 が含まれます。

  • リポジトリからの内部スクリプト– これらには、LastPass シークレットと証明書が含まれていました。

  • 内部文書– 開発環境がどのように動作するかを説明した技術情報。

インシデント 2 でアクセスされたデータの概要:

  • DevOps シークレット– クラウドベースのバックアップ ストレージへのアクセスを取得するために使用された制限付きのシークレット。

  • クラウドベースのバックアップ ストレージ– 構成データ、API シークレット、サードパーティ統合シークレット、顧客メタデータ、およびすべての顧客ボールト データのバックアップが含まれていました。 URL、インストールされた LastPass Windows または macOS ソフトウェアへのファイル パス、および電子メール アドレスに関連する特定のユース ケースを除くすべての機密の顧客ボールト データは、当社のゼロ ナレッジ モデルを使用して暗号化されており、各ユーザーのマスター パスワードから派生した一意の暗号化キーでのみ復号化できます。 .なお、エンド ユーザーのマスター パスワードは LastPass に知られることはなく、LastPass によって保存または維持されることもありません。そのため、盗み出されたデータには含まれませんでした。

  • LastPass MFA/フェデレーション データベースのバックアップ– LastPass Authenticator シードのコピー、MFA バックアップ オプション (有効な場合) に使用される電話番号、および LastPass フェデレーション (有効な場合) に使用されるスプリット ナレッジ コンポーネント (K2「キー」) のコピーが含まれています。 .このデータベースは暗号化されていましたが、2 回目のインシデントで脅威アクターが盗んだ秘密には、別に保存された復号化キーが含まれていました。

同社は<meta name="robots" content="noindex"> HTML タグをドキュメントに追加して、検索によってインデックスに登録されないようにしたため、今日のサポート速報はすべて検索エンジンにリストされていないため、簡単に見つけることができません。エンジン。

また、LastPass は、「 自分自身またはビジネスを保護するために必要なアクション」というタイトルの PDF もリリースしました。これには、顧客が環境を保護するために実行できる追加の手順が含まれています。