LastPass数据泄露事件最新细节,工程师电脑被植入键盘记录器
前不久曾报道过知名密码管理软件——LastPass发生的一起严重数据泄露事件。而在最近,LastPass关于其数据泄露事件的调查又有了新进展。据其透露,攻击者最初是感染了LastPass一名DevOps工程师的个人电脑,随后从其Amazon AWS云存储服务器中窃取了敏感数据。
LastPass被个人和企业用来安全地存储及管理密码,并因其高水平的安全性而受到信赖。但在去年,攻击者从其云存储中导出了敏感的基本客户帐户信息,如公司名称、用户名、地址、电子邮件地址、电话号码,以及客户访问LastPass服务的IP地址等。网络安全产品测评网站 Security.org 对一千多名美国人进行的一项调查显示,2021年最受欢迎的密码管理工具LastPass在2022年下滑到第四位。
根据LastPass最近发布的公告,仅有四名工程师能够访问LastPass AWS云存储服务所需的解密密钥。(云备份包括未加密的客户帐户信息以及使用256位AES加密保护的敏感字段)
而黑客的攻击就通过针对这些DevOps工程师的个人电脑,并利用易受攻击的第三方媒体软件包来实现。该软件包启用了远程代码执行功能,借此攻击者能在工程师的设备上植入键盘记录器恶意软件。在工程师通过MFA进行身份验证后,攻击者能够在其输入时捕获工程师的主密码,继而获取了对DevOps工程师的LastPass公司保险库的访问权限。
接着,攻击者从中导出了数据保险库和共享文件夹的内容,其中包含加密的安全注释、AWS S3 LastPass生产备份、其他基于云的存储资源以及一些相关关键数据库备份所需的访问和解密密钥。
由于攻击者使用的是有效的凭据,这使得LastPass很难检测到其入侵行为,并使该攻击者有充足的时间从LastPass的云存储服务器窃取数据。据报道,攻击者访问该系统达两个多月。在事件的最后,当攻击者尝试使用身份识别和访问管理(IAM)执行未经授权的任务时,LastPass通过AWS GuardDuty警报检测到了异常行为。
LastPass表示,它已经更新了其安全系统,采取的措施包括轮换敏感凭据和身份验证密钥、吊销证书、添加额外的警报日志以及更严格的安全策略。另外,LastPass的客户最好更改主密码以及存储在其密码保险库中的所有密码。
