Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.
Mới đây, LastPass lại một lần nữa phải thông báo cho khách hàng của mình về sự cố bảo mật liên quan đến vi phạm môi trường phát triển vào tháng 8/2022 và sau đó là truy cập trái phép vào dịch vụ lưu trữ đám mây bên thứ ba của công ty, nơi lưu trữ các bản sao lưu.
Cụ thể, kẻ tấn công đã sử dụng thông tin bị đánh cắp trong vụ vi phạm vào tháng 8 và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao và giành được quyền truy cập vào các bucket Amazon S3 đã được mã hóa của công ty.
Vì chỉ có bốn kỹ sư DevOps cấp cao của LastPass mới có quyền truy cập vào các khóa giải mã này nên kẻ tấn công đã nhắm mục tiêu vào một trong số họ. Cuối cùng, kẻ tấn công đã cài đặt thành công keylogger trên thiết bị của kỹ sư đó bằng cách khai thác lỗ hổng thực thi mã từ xa trong một phần mềm truyền thông của bên thứ ba.
LastPass cho biết thêm, kẻ tấn công đã lợi dụng thông tin bị đánh cắp trong sự cố đầu tiên và có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đã xác thực bằng MFA và có quyền truy cập vào kho lưu trữ LastPass của kỹ sư DevOps. Sau đó, kẻ tấn công đã trích xuất các dữ liệu được lưu trữ trong đó gồm nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu AWS S3 LastPass đang dùng trong thực tế, các tài nguyên lưu trữ trên cloud khác và một số bản sao lưu cơ sở dữ liệu quan trọng liên quan.
Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ xâm nhập, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ cloud của LastPass trong hơn hai tháng, từ ngày 12/8 đến ngày 26/10/2022.
LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ tấn công cố gắng sử dụng quyền quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.
Công ty cho biết kể từ đó họ đã tăng cường bảo mật của mình, bao gồm thay đổi thông tin đăng nhập nhạy cảm và khóa/mã token xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.
Truy cập vào kho dữ liệu lớn của LastPass
LastPass cũng đã tiết lộ chi tiết về thông tin nào của khách hàng đã bị đánh cắp trong cuộc tấn công. Dữ liệu bị lộ rất rộng và đa dạng, bao gồm từ các thành phần xác thực đa yếu tố, các khóa tích hợp (integration secrets) API MFA cho đến khóa phân tách K2 (Split knowledge component Key) dành cho khách hàng doanh nghiệp được liên kết.
Ngoài các dữ liệu trên, một số mã nguồn, tập lệnh, tài liệu nội bộ và một số dữ liệu sao lưu (đã được mã hóa) của LastPass cũng đã bị truy cập trái phép trong hai vụ vi phạm trên.
LastPass lưu ý rằng, tất cả dữ liệu nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp nhất định liên quan đến địa chỉ email đều được mã hóa bằng mô hình Zero knowledge của LastPass và chỉ có thể được giải mã bằng mật khẩu chính của mỗi người dùng. Mật khẩu chính của người dùng không bao giờ được LastPass biết cũng như không được LastPass lưu trữ, do đó, chúng không được đưa vào dữ liệu bị lộ.