LastPass revela segunda violação usando acesso a cofres de senhas criptografadas

O agente da ameaça aproveitou informações roubadas durante o primeiro incidente da LastPass

Jardeson Márcio
4 minutos de leitura

O LastPass divulgou uma grave violação de dados no final do ano passado. Essa violação permitiu que os invasores acessassem cofres de senhas criptografadas. Segundo a empresa, esse acesso levou o agente de ameaças a atacar o seu sistema mais uma vez. A LastPass acaba de revelar uma segunda violação que deu acesso a cofres de senhas criptografadas.

LastPass sofre mais uma violação de dados com acesso a cofres de senhas

A LastPass disse que um de seus engenheiros de DevOps teve seu computador doméstico violado e infectado com um keylogger como parte de um ataque cibernético sustentado que exfiltrou dados confidenciais de seus servidores de armazenamento em nuvem Amazon AWS.

O serviço de gerenciamento de senhas disse que,

O agente da ameaça aproveitou informações roubadas durante o primeiro incidente, informações disponíveis de uma violação de dados de terceiros e uma vulnerabilidade em um pacote de software de mídia de terceiros para lançar um segundo ataque coordenado.

Essa invasão teve como alvo a infraestrutura, os recursos e um de seus funcionários da empresa de 12 de agosto de 2022 a 26 de outubro de 2022. O incidente original, por outro lado, terminou em 12 de agosto de 2022. A violação de agosto viu os invasores acessando o código-fonte e informações técnicas proprietárias de seu ambiente de desenvolvimento por meio de uma única conta de funcionário comprometida.

lastpass-revela-segunda-violacao-que-deu-acesso-a-cofres-de-senhas-criptografadas

Em dezembro de 2022, o LastPass revelou que o agente da ameaça aproveitou as informações roubadas para acessar um ambiente de armazenamento baseado em nuvem e obter “certos elementos das informações de nossos clientes”. Ainda em dezembro, foi divulgado que o invasor desconhecido obteve acesso a um backup dos dados do cofre do cliente que, segundo ele, estava protegido por criptografia AES de 256 bits.

A GoTo, empresa controladora do LastPass, também confessou uma violação no mês passado decorrente de acesso não autorizado ao serviço de armazenamento em nuvem de terceiros. Agora, de acordo com a empresa, o agente da ameaça se envolveu em uma nova série de “atividades de reconhecimento, enumeração e exfiltração” voltadas para seu serviço de armazenamento em nuvem entre agosto e outubro de 2022.

De acordo com a LastPass, o agente da ameaça conseguiu aproveitar credenciais válidas roubadas de um engenheiro sênior de DevOps para acessar um ambiente de armazenamento em nuvem compartilhado. Isso permitiu que o invasor obtivesse acesso aos ambientes que abrigavam backups do cliente LastPass e dados criptografados do cofre.

Senhas roubadas de um funcionário

Diz-se que as senhas do funcionário foram desviadas visando o computador doméstico do indivíduo e aproveitando um “pacote de software de mídia vulnerável de terceiros” para obter a execução remota de código e implantar um software keylogger. O LastPass não revelou o nome do software de mídia de terceiros usado, mas as indicações são de que poderia ser o Plex com base no fato de ter sofrido uma violação própria no final de agosto de 2022.

Após o incidente, o LastPass disse que atualizou sua postura de segurança alternando credenciais críticas e de alto privilégio e reemitindo certificados obtidos pelo agente da ameaça, e que aplicou medidas extras de proteção do S3 para implementar mecanismos de registro e alerta.

É altamente recomendável que os usuários do LastPass alterem suas senhas mestras e todas as senhas armazenadas em seus cofres para mitigar riscos potenciais.

Share This Article
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.