Sự cố bảo mật của LastPass
Sau một tiết lộ vi phạm dữ liệu đã kéo dài nhiều tháng, LastPass cho biết cùng một kẻ tấn công đã tấn công máy tính của một nhân viên và đánh cắp kho mật khẩu được giải mã.
Công ty đã báo cáo một sự cố bảo mật vào tháng 8 năm 2022, cho biết một bên trái phép đã đạt được quyền truy cập vào dịch vụ lưu trữ dựa trên đám mây của bên thứ ba mà LastPass sử dụng để lưu trữ các bản sao lưu đã lưu trữ. Một số dữ liệu của khách hàng đã bị truy cập, nhưng LastPass cho biết mật khẩu vẫn an toàn do kiến trúc được mã hóa của nó.
Bây giờ, trong một báo cáo vào Thứ Ba , công ty cho biết rằng cùng một kẻ tấn công đã tấn công máy tính ở nhà của một nhân viên và đánh cắp kho tiền được giải mã chỉ dành cho một số ít nhà phát triển của công ty. Kho tiền đã cấp quyền truy cập vào môi trường lưu trữ đám mây dùng chung có chứa các khóa mã hóa cho các bản sao lưu kho tiền của khách hàng được lưu trữ trong bộ chứa Amazon S3.
“Điều này đã được thực hiện bằng cách nhắm mục tiêu vào máy tính ở nhà của kỹ sư DevOps và khai thác gói phần mềm phương tiện dễ bị tấn công của bên thứ ba, kích hoạt khả năng thực thi mã từ xa và cho phép kẻ đe dọa cấy ghép phần mềm độc hại keylogger,”LastPass viết. “Kẻ đe dọa đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đó xác thực bằng MFA và có quyền truy cập vào kho tiền công ty LastPass của kỹ sư DevOps.”
Theo báo cáo hôm thứ Hai, chiến thuật, kỹ thuật và quy trình của sự kiện đầu tiên khác với những chiến thuật, kỹ thuật và quy trình được sử dụng trong sự cố thứ hai. Kết quả là, lần đầu tiên các nhà điều tra không rõ ràng rằng hai người có mối liên hệ với nhau.
Tin tặc đã khai thác dữ liệu của sự kiện đầu tiên để trích xuất dữ liệu được lưu trong bộ chứa S3 trong sự cố thứ hai. Amazon đã nhận thấy”hành vi bất thường”khi kẻ tấn công cố gắng sử dụng vai trò Quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép và đã thông báo cho LastPass.
Vào tháng 12, Giám đốc điều hành LastPass Karim Toubba cho biết tin tặc đã sao chép dữ liệu từ các bản sao lưu bao gồm thông tin tài khoản khách hàng và siêu dữ liệu liên quan bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP.
Tin tặc cũng đã tạo một bản sao dữ liệu kho tiền của khách hàng, mặc dù LastPass cho biết dữ liệu này”được lưu trữ ở định dạng nhị phân độc quyền”. Công ty tuyên bố rằng rất khó có khả năng tin tặc có thể giải mã dữ liệu, nhưng cảnh báo người dùng rằng họ có thể bị nhắm mục tiêu bởi các cuộc tấn công lừa đảo hoặc kỹ thuật xã hội.
Người dùng nên cập nhật mật khẩu chính để đăng nhập vào kho tiền của họ, cũng như mật khẩu của họ cho các trang web và thông tin đăng nhập khác, như một biện pháp phòng ngừa, mặc dù LastPass tuyên bố rằng thông tin đăng nhập của khách hàng đã được mã hóa và an toàn. Ngoài ra, mọi người có thể chuyển sang một trình quản lý mật khẩu khác, chẳng hạn như iCloud Keychain, Bitwarden hoặc 1Password.
Bảo mật LastPass
LastPass khẳng định rằng sẽ mất hàng triệu năm để giải mã mật khẩu chính của người dùng, nhưng một đối thủ cạnh tranh tin rằng sẽ chỉ mất một phần nhỏ của thời điểm đó và có thể được hoàn thành chỉ với 100 đô la. Trong một bài đăng trên blog, kiến trúc sư bảo mật chính của 1Password, Jeffrey Goldberg đã viết rằng LastPass đã không làm đủ để bảo mật dữ liệu của khách hàng.
“Nếu bạn xem xét tất cả các mật khẩu 12 ký tự có thể có, thì có khoảng 2^72 khả năng. Sẽ mất nhiều triệu năm để thử tất cả chúng. Thật vậy, sẽ mất nhiều thời gian hơn nữa,”ông viết.”Nhưng những người bẻ khóa mật khẩu do con người tạo ra không làm theo cách đó. Họ thiết lập hệ thống của mình để thử những mật khẩu có khả năng nhất trước.”
LastPass đã phải đối mặt với những lời chỉ trích về các thủ tục bảo mật đáng ngờ. Vào tháng 12 năm 2021, các thành viên LastPass đã báo cáo nhiều lần cố gắng đăng nhập bằng mật khẩu chính chính xác từ nhiều địa điểm khác nhau.
Công ty đảm bảo với khách hàng rằng các cuộc tấn công là kết quả của việc mật khẩu bị rò rỉ do vi phạm của bên thứ ba. Và vào tháng 2 năm 2021, một nhà nghiên cứu bảo mật đã tìm thấy 7 trình theo dõi bên trong ứng dụng LastPass dành cho Android để phân tích ứng dụng.
