A LatPass A támadás részletei
A LastPass a tavalyi második incidensről hozott nyilvánosságra részleteket, amikor több mint két hónapig volt hozzáférése az Amazon AWS felhőtároló szerverekhez a támadóknak, ahonnan titkosított jelszótároló adatokat és ügyféladatokat sikerült megszerezni az elkövetőknek, egy dolgozón keresztül.
A támadok egy DevOps mérnök otthoni számítógépét használták ki egy sérülékeny, harmadik féltől származó médiaszoftver-csomagot kihasználva, amely lehetővé tette a távoli kódfuttatást, hogy beültethessen egy kulcsnaplózó rosszindulatú programot. A fenyegetés szereplője el tudta rögzíteni az alkalmazott fő jelszavát, miután az alkalmazott MFA-val hitelesítette magát, és hozzáférhetett a DevOps mérnök LastPass vállalati tárolójához. A feltört DevOps mérnök egyike volt annak a mindössze négy LastPass alkalmazottnak, akik hozzáfértek a vállalati trezorhoz. Miután birtokában volt a visszafejtett tárolónak, a fenyegetés szereplője exportálta a bejegyzéseket, beleértve az AWS S3 LastPass éles biztonsági másolatainak eléréséhez szükséges visszafejtési kulcsokat, más felhőalapú tárolási erőforrásokat és néhány kapcsolódó kritikus adatbázis-mentést.
A LastPass jelentése szerint az első incidens taktikái, technikái és eljárásai eltértek a másodiknál használtaktól, és ennek eredményeként a nyomozók számára kezdetben nem volt egyértelmű, hogy a kettő közvetlenül összefügg. A második incidens során a fenyegetés szereplője az első során szerzett információkat használta fel