LastPass đã tiết lộ thêm thông tin về một "cuộc tấn công thứ hai có phối hợp", trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây AWS của Amazon trong hơn hai tháng.
LastPass đã tiết lộ một vi phạm vào tháng 12, trong đó các tác nhân đe dọa đã đánh cắp dữ liệu kho mật khẩu được mã hóa một phần và thông tin khách hàng.
Công ty hiện đã tiết lộ cách thức các tác nhân đe dọa thực hiện cuộc tấn công này, nói rằng họ đã sử dụng thông tin bị đánh cắp trong một vụ vi phạm vào tháng 8 , thông tin từ một vụ vi phạm dữ liệu khác và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao.
LastPass cho biết cuộc tấn công phối hợp thứ hai này đã sử dụng dữ liệu bị đánh cắp từ lần vi phạm đầu tiên để giành quyền truy cập vào các bộ chứa Amazon S3 được mã hóa của công ty.
Vì chỉ có bốn kỹ sư DevOps của LastPass có quyền truy cập vào các khóa giải mã này nên tác nhân đe dọa đã nhắm mục tiêu vào một trong các kỹ sư. Cuối cùng, tin tặc đã cài đặt thành công keylogger trên thiết bị của nhân viên bằng cách khai thác lỗ hổng thực thi mã từ xa trong gói phần mềm phương tiện của bên thứ ba.
“Kẻ đe dọa đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đó xác thực bằng MFA và có quyền truy cập vào kho tiền công ty LastPass của kỹ sư DevOps,” một tư vấn bảo mật mới được công bố hôm nay cho biết .
"Sau đó, kẻ đe dọa đã xuất các mục nhập kho tiền công ty gốc và nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu sản xuất AWS S3 LastPass, các tài nguyên lưu trữ dựa trên đám mây khác và một số bản sao lưu cơ sở dữ liệu quan trọng có liên quan ."
Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ đe dọa, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây của LastPass trong hơn hai tháng, từ ngày 12 tháng 8 năm 2022 đến ngày 26 tháng 10 năm 2022.
LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ đe dọa cố gắng sử dụng vai trò Quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.
Công ty cho biết kể từ đó họ đã cập nhật trạng thái bảo mật của mình, bao gồm luân phiên thông tin đăng nhập nhạy cảm và khóa/mã thông báo xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.
Tất cả các bản tin hỗ trợ ngày nay đều không dễ tìm, không có bản tin nào được liệt kê trong các công cụ tìm kiếm, vì công ty đã thêm <meta name="robots" content="noindex"> các thẻ HTML vào tài liệu để ngăn chúng được lập chỉ mục bởi các công cụ tìm kiếm.
LastPass đã phát hành một tệp PDF có tiêu đề " Cập nhật sự cố bảo mật và các hành động được đề xuất ", trong đó có thêm thông tin về vi phạm và dữ liệu bị đánh cắp.
Công ty cũng đã tạo các tài liệu hỗ trợ chứa các hành động được đề xuất nên được thực hiện cho khách hàng Miễn phí, Cao cấp và Gia đình cũng như Quản trị viên Doanh nghiệp LastPass
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.