零信任被突破：LastPass称DevOps工程师居家办公被黑

密码管理软件公司 LastPass 表示，其一名 DevOps 工程师的个人家用电脑遭到黑客攻击并植入了键盘记录恶意软件，这是持续性网络攻击的一部分，攻击者从云存储资源中窃取了公司数据。

LastPass 周一承认了一次“第二次攻击”，其中一名未具名的攻击者将去年 8 月数据泄露事件中窃取的数据与第三方数据泄露事件中的可用信息以及第三方媒体软件包中的漏洞结合起来，发起了协同攻击。

“我们的调查显示，攻击者从 2022 年 8 月 12 日结束的第一起事件开始转向，但从 8 月 12 日开始积极参与与云存储环境一致的一系列新的侦察、枚举和渗漏活动， 2022 年至 2022 年 10 月 26 日。”该公司在网上发布的一份说明中解释道。

LastPass 补充说：“在第二起事件中，威胁行为者迅速利用在我们团队完成重置之前在第一起事件中泄露的信息来枚举并最终从云存储资源中泄露数据。”

LastPass 与 Mandiant 的事件响应专家合作进行取证，并发现一名 DevOps 工程师的家用电脑成为绕过安全缓解措施的目标。

攻击者利用第三方媒体软件包中的远程代码执行漏洞，在该员工的个人电脑上植入了键盘记录恶意软件。该公司表示：“在员工通过 MFA 进行身份验证后，攻击者能够在员工输入时捕获其主密码，并获得对 DevOps 工程师的 LastPass 公司保险库的访问权限。”

“攻击者随后导出了本地公司保险库条目和共享文件夹的内容，其中包含加密的安全注释以及访问 AWS S3 LastPass 生产备份、其他基于云的存储资源和一些相关的关键数据库备份所需的访问和解密密钥。”LastPass 证实。

由 GoTo（前身为 LogMeIn）拥有的 LastPass最初于 2022 年 8 月披露了这一漏洞，并警告称其部分源代码已被盗。2023 年 1 月，母公司 GoTo 表示，它也遭受了一次入侵行为，包括账户用户名、加盐和哈希密码、部分多重身份验证 (MFA) 设置以及一些产品设置和许可信息被盗。

LastPass 在全球拥有超过 3000 万用户和 85,000 家企业客户。