Den meget populære passordtjenesten LastPass ble i fjor sommer utsatt for et alvorlig datainnbrudd, der angriperne blant annet fikk tilgang til deler av kildekoden.
Senere kom det frem at angriperne hadde fått tilgang til passordhvelvet, før det også ble avslørt at angrepet hadde rammet en rekke andre produkter. Nå har tjenesten kunngjort enda flere detaljer om hvordan angrepet fant sted, melder blant andre ZDNet.
Angrep hjemme-PC
I en ny oppdatering på støttesidene sine opplyser Lastpass at trusselaktøren(e) benyttet seg av data som ble stjålet fra en senior devops-ingeniør ansatt hos Lastpass. Disse dataene ble benyttet til å få tilgang til et felles skylagringsmiljø.
_logo.svg.png){kind=logo}
For å få tilgang til dette miljøet måtte angriperen få tak i AWS-tilgangsnøkler og dekrypteringsnøkler generert av Lastpass, forklarer tjenesten, og det er her saken tar en mer oppsiktsvekkende vending.
Lastpass utsatt for alvorlig datainnbrudd
Det eneste stedet dekrypteringsnøklene kunne hentes fra, var et knippe delte mapper i et passordhvelv som kun fire senior-ingeniører med høy sikkerhetsklarering hos Lastpass hadde tilgang til. Ingeniørene bruker disse mappene til å utføre administrative oppgaver.
For å komme rundt sikkerhetsmekanismene i Lastpass' egne systemer, rettet hackeren seg mot en av disse fire ingeniørene – nærmere bestemt vedkommendes hjemme-PC.
Angriperen utnyttet sårbarheter i programvare på ingeniørens datamaskin, som satte vedkommende i stand til å fjernkjøre kode og installere såkalt «keylogger»-skadevare. Dette er en type programvare som registrerer tastetrykkene til brukeren og som ofte brukes av ondsinnede aktører til å stjele sensitive data.
Har iverksatt mange tiltak
Ved hjelp av denne metoden klarte angriperen å få tak i masterpassord, etter at Lastpass-ingeniøren hadde autentisert med flerfaktorautentisering. Dermed fikk personen tilgang til Lastpass-hvelvet som inneholdt dekrypteringsnøklene.
Innholdet i mappene ble også brukt til å få tilgang til andre nettskyressurser og kritiske database-sikkerhetskopier, opplyser tjenesten.
Som en konsekvens av etterforskningen og hendelsen har Lastpass iverksatt en rekke tiltak. Blant annet har selskapet assistert ingeniøren som ble angrepet med å forbedre sikkerheten til hjemmenettverket – og privilegert innloggingsdata som var tilgjengelig for angriperen, har blitt endret og oppdatert.
Det første Lastpass-angrepet fant sted i august i fjor, og da fikk angriperne tilgang til deler av kildekoden samt proprietær teknisk informasjon. Det andre angrepet skjedde i desember (krever betaling), og det ble ifølge tjenesten utført med data som ble stjålet i det første innbruddet.
Populær passordtjeneste etter hacking: Angriperne fikk tilgang til passordhvelv
