LastPass diz que o computador doméstico do funcionário foi hackeado para roubar um cofre descriptografado

Em resumo: O gerenciador de senhas LastPass revelou detalhes de uma violação no ano passado que resultou no roubo de dados de login do usuário parcialmente criptografados. A empresa confirmou que o incidente resultou de um hack anterior em agosto que permitiu ao hacker roubar credenciais do computador doméstico de um engenheiro de DevOps e obter um cofre descriptografado.

Em dezembro, o LastPass disse ter detectado atividade incomum em um serviço de armazenamento em nuvem da AWS que a organização e GoTo, a empresa anteriormente conhecida como LogMeIn que adquiriu o LastPass em 2021, compartilham. Foi determinado que o hacker conseguiu obter acesso a “certos elementos” dos dados dos clientes. Isso foi obtido usando informações adquiridas do hack anterior no LastPass em agosto.

Recentemente, detectamos atividades incomuns em um serviço de armazenamento em nuvem de terceiros, que atualmente é compartilhado pelo LastPass e seu afiliado GoTo. As senhas dos clientes permanecem criptografadas com segurança devido à arquitetura Zero Knowledge do LastPass. Mais informações: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK

— LastPass (@LastPass) 30 de novembro de 2022

LastPass revelou mais detalhes do segundo incidente ontem. Ele escreve que, embora a violação inicial tenha terminado em 12 de agosto, o hacker “estava ativamente envolvido em uma nova série de atividades de reconhecimento, enumeração e exfiltração” de 12 a 26 de agosto. engenheiro durante esse período e acessar o armazenamento em nuvem compartilhado da empresa, que continha as chaves de criptografia para backups de cofres de clientes armazenados em baldes do Amazon S3.

Parte do ataque envolveu o computador doméstico do engenheiro, um dos apenas quatro com acesso às chaves de descriptografia, sendo infectado por um keylogger. Isso foi obtido explorando uma vulnerabilidade de execução remota de código em um pacote de software de mídia de terceiros. A Ars Technica escreve que o software em questão era o serviço de streaming de mídia/reprodutor de mídia Plex.

“O agente da ameaça conseguiu capturar a senha mestra do funcionário conforme ela foi inserida, após a autenticação do funcionário com MFA, e obter acesso ao cofre corporativo do LastPass do engenheiro de DevOps”, escreve o LastPass.

Merda, estou preso em uma violação de dados do @plex. De novo. Não posso fazer nada para *não* entrar em uma violação como essa (a não ser não usar o serviço), mas uma senha aleatória gerada por @1Password e 2FA ativado torna isso um mero inconveniente, e não um risco genuíno. pic.twitter.com/XetB3IGUh3

— Troy Hunt (@troyhunt) 24 de agosto de 2022

Em agosto, apenas 12 dias após o início do segundo incidente do LastPass, a Plex anunciou a descoberta de atividade suspeita em um de seus bancos de dados e descobriu que um terceiro havia acessado um subconjunto de dados que incluía e-mails, nomes de usuário e senhas criptografadas. Não está claro se isso estava relacionado à violação do LastPass.

O LastPass revelou uma lista detalhada de tudo o que foi acessado durante as violações. Se você for um usuário, alterar a senha mestra e todas as senhas em seu cofre seria uma jogada inteligente.