Kaj se je dogajalo v decembrskem vdoru v LastPass
Matej Huš
1. mar 2023 ob 12:36:42
LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.
Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem so bili prijavni podatki za Amazon S3. Napadalci so nato sneli celotno vsebino na strežniku, torej šifrirne podatke približno 30 milijonov strank.
Ti so šifrirani, zato v teoriji razloga za preplah ne bi smelo biti. A kot smo že pisali, je bilo veliko trezorjev neprimerno zaščitenih. Čeprav so šifrirani z AES-256, so imeli starejši računi nizko število iteracij (celo 1 ali 500) in kratko glavno geslo. Hkrati hekerji vidijo, za katere strani so shranjena gesla, ker ta podatek ni šifriran. Hekerji se tako lahko osredotočijo na račune, ki največ obetajo.
Čeprav je LastPass naposled zaznal vdor, ko je heker skušal uporabiti Cloud Identity and Access Management, ter odtlej spremenil varnostni režim ter poostril nadzor, so ugled v veliki meri že izgubili.
AWS Access Keys and the LastPass-generated decryption keys.