O LastPass divulgou uma grave violação de dados no final do ano passado. Essa violação permitiu que os invasores acessassem cofres de senhas criptografadas. Segundo a empresa, esse acesso levou o agente de ameaças a atacar o seu sistema mais uma vez. A LastPass acaba de revelar uma segunda violação que deu acesso a cofres de senhas criptografadas.
LastPass sofre mais uma violação de dados com acesso a cofres de senhas
A LastPass disse que um de seus engenheiros de DevOps teve seu computador doméstico violado e infectado com um keylogger como parte de um ataque cibernético sustentado que exfiltrou dados confidenciais de seus servidores de armazenamento em nuvem Amazon AWS.
O serviço de gerenciamento de senhas disse que,
O agente da ameaça aproveitou informações roubadas durante o primeiro incidente, informações disponíveis de uma violação de dados de terceiros e uma vulnerabilidade em um pacote de software de mídia de terceiros para lançar um segundo ataque coordenado.
Essa invasão teve como alvo a infraestrutura, os recursos e um de seus funcionários da empresa de 12 de agosto de 2022 a 26 de outubro de 2022. O incidente original, por outro lado, terminou em 12 de agosto de 2022. A violação de agosto viu os invasores acessando o código-fonte e informações técnicas proprietárias de seu ambiente de desenvolvimento por meio de uma única conta de funcionário comprometida.
Em dezembro de 2022, o LastPass revelou que o agente da ameaça aproveitou as informações roubadas para acessar um ambiente de armazenamento baseado em nuvem e obter “certos elementos das informações de nossos clientes”. Ainda em dezembro, foi divulgado que o invasor desconhecido obteve acesso a um backup dos dados do cofre do cliente que, segundo ele, estava protegido por criptografia AES de 256 bits.
A GoTo, empresa controladora do LastPass, também confessou uma violação no mês passado decorrente de acesso não autorizado ao serviço de armazenamento em nuvem de terceiros. Agora, de acordo com a empresa, o agente da ameaça se envolveu em uma nova série de “atividades de reconhecimento, enumeração e exfiltração” voltadas para seu serviço de armazenamento em nuvem entre agosto e outubro de 2022.
De acordo com a LastPass, o agente da ameaça conseguiu aproveitar credenciais válidas roubadas de um engenheiro sênior de DevOps para acessar um ambiente de armazenamento em nuvem compartilhado. Isso permitiu que o invasor obtivesse acesso aos ambientes que abrigavam backups do cliente LastPass e dados criptografados do cofre.
Senhas roubadas de um funcionário
Diz-se que as senhas do funcionário foram desviadas visando o computador doméstico do indivíduo e aproveitando um “pacote de software de mídia vulnerável de terceiros” para obter a execução remota de código e implantar um software keylogger. O LastPass não revelou o nome do software de mídia de terceiros usado, mas as indicações são de que poderia ser o Plex com base no fato de ter sofrido uma violação própria no final de agosto de 2022.
Após o incidente, o LastPass disse que atualizou sua postura de segurança alternando credenciais críticas e de alto privilégio e reemitindo certificados obtidos pelo agente da ameaça, e que aplicou medidas extras de proteção do S3 para implementar mecanismos de registro e alerta.
É altamente recomendável que os usuários do LastPass alterem suas senhas mestras e todas as senhas armazenadas em seus cofres para mitigar riscos potenciais.