LastPass 拥有超过 3300 万注册用户和超过 100,000 个商业客户,是全球最受欢迎的密码管理器之一。在过去几个月不断升级的一系列极具破坏性的披露之后,LastPass 现在承认黑客不止一次入侵其系统,并窃取了大量高度敏感的客户数据。
在本文中,我们将研数据泄露事件
并思考可以从中吸取的教训。
不断升级的危机时间表
那么发生了什么?
到底被盗了什么?
谁应该负责,为什么?
公司可以从此次事件中吸取什么教训?
我个人可以做些什么来保护自己?
最后的想法
不断升级的危机时间表
在披露中,LastPass 一直热衷于区分其开发环境和生产环境,它声称这两个环境在物理上是分开的(即托管在完全不同的服务器网络上)。
开发环境用于在软件投入生产之前对其进行开发和测试。开发环境中不存储任何客户数据。生产环境包含用于日常向客户提供服务的软件和基础设施。客户的数据存储在生产环境中。
这个故事在 LastPass 的三项披露中展开:
2022 年 8 月:首席执行官 Karim Toubba
发布声明(新窗口),称“未经授权
的一方通过一个被入侵的开发者账户访问了 LastPass 开发环境的部分内容,并窃取了部分源代码和一些专有的 LastPass 技术信息”。 Toubba 指出,由于只有开发环境被入侵,因此没有访问任何客户数据。他还声称,此次入侵已成功得到控制。
2022 年 12 月:Toubba 更新了他之前的声明,宣布第二次入侵,这次是其生产环境。在此事件中,攻击者能够复制其客户保险库数据。
我们提供的 可能是与您的客户沟通的正确选择。因此,使用我们的 ,您可以联系潜在客户并让他们了解您的产品。此外,我们 WhatsApp 数据 的 是最新且准确的,因此您可以轻松地将其添加到您的 CRM 系统中。此外,我们的电子邮件地址可帮助您将消息直接发送到潜在客户的收件箱。
年 3 月 1 日:在进行详细的取证分
析后,LastPass 发布了一份声明,详细描述了发生的事情(新窗口)。
那么发生了什么?
最终,这次攻击比 LastPass 最初披露的要严重得多:
客能够访问 LastPass 软件工程师的用户
帐户。这是通过窃取登录凭据(用户名和密码)实现的。LastPass 员工帐户使用双因素身份验证 (2FA) 进行保护,但攻击者成功使用了一种称为多因素身份验证 (MFA) 疲劳 (new window) 的策略来欺骗工程师接受虚假的 2FA 请求。
随着亚马逊网络服务 (AWS) 云开发环 伊朗电话号码列表 境现在受到攻击,宝贵的公司资产被盗,但没有客户数据。在发现之后,LastPass 认为它已经通过从头开始删除和重建开发环境并更改开发人员环境的所有用户凭据来控制漏洞。
2. LastPass 当时并不知道,攻击者已经检查了 AWS 日志,以发现 LastPass 的加密密钥存储在哪里、谁有 b2b 传真线索 访问它们以及从哪些 IP 地址访问它们。
攻击者扫描了这些 IP 地址以
查找漏洞,发现一名 LastPass 高级 DevOps 工程师在其家庭网络上运行着非常老版本的 Plex(new window)。
Plex 是一个流行的平台,允许您将
设备配置为媒体服务器,以便将您自己的媒体内容流式传输到您的其他设备。这位高级 DevOps 工程师运行的版本已有三年历史,并且已知存在一个严重漏洞(new window),允许任何有权访问 Plex 服务器的人将恶意代码上传到主机并执行。Plex 三年前修复了该漏洞,但这位工程师尚未更新其软件。
5. 攻击者利用此漏洞在 DevOps 工程师的家庭系统上安装了键盘记录器恶意软件。当这位高级 DevOps 工程师使用此家庭系统登录 LastPass 并合法访问 LastPass 公司保险库时,攻击者现在拥有了访问保险库所需的所有凭据。
由于这个家庭系统既在公司雷达的监视
之下,但在 LastPass 安全控制中却显示为正常流量,因此攻击者能够在近八周的时间里不被发现地进行操作(从 2022 年 8 月 12 日到 2022 年 10 月 26 日)。
6. 利用这个深藏不露的位置以及几乎无限制地访问秘密凭证,攻击者可以自由访问开发和生产环境。这使他们可以下载加密的客户数据、关键数据库备份和源代码。
通过访问秘密存储,他们现在还可以完全解密一些静态加密的数据。
到底被盗了什么?
1. 客户密码数据库。