Ведущий менеджер паролей LastPass и его дочерняя компания, поставщик коммуникационного программного обеспечения GoTo, сообщили, что они подверглись взлому своей инфраструктуры облачного хранилища после кибератаки в августе 2022 года.
В сообщении (откроется в новой вкладке) о продолжающемся инциденте компания признает, что недавно обнаружила «необычную активность» в стороннем облачном хранилище, используемом LastPass и GoTo.
Результаты расследования LastPass, подписанные генеральным директором LastPass Каримом Туббой и с участием экспертов по безопасности Mandiant, показали, что кто-то использовал утекшие во время инцидента учетные данные, чтобы получить доступ к «определенным элементам» информации клиентов LastPass.
Пароли безопасны
Тубба не уточнил, к какому типу данных был осуществлен доступ, но сказал, что пароли пользователей не менялись.
«Пароли наших клиентов остаются надежно зашифрованными благодаря архитектуре LastPass с нулевым разглашением», — сказал он.
«Пока наше расследование продолжается, мы достигли состояния сдерживания, внедрили дополнительные усиленные меры безопасности и не видим дальнейших доказательств несанкционированной деятельности».
LastPass — один из самых популярных профессиональных менеджеров и генераторов паролей, которым ежедневно пользуются более 100 000 компаний. Он не новичок в утечках данных киберпреступниками.
LaComparacion Pro ранее сообщала, что в конце сентября 2022 года компания подтвердила, что злоумышленник, ответственный за первоначальную атаку в августе, несколько дней скрывался в ее сети, прежде чем был забанен.
Однако в тот момент злоумышленник не смог получить доступ к внутренним данным клиентов или зашифрованным хранилищам паролей. LastPass утверждает, что последняя разработка не изменила ситуацию благодаря архитектуре с нулевым разглашением (откроется в новой вкладке).
«Хотя злоумышленник смог получить доступ к среде разработки, конструкция нашей системы и средства контроля не позволили ему получить доступ к данным клиентов или зашифрованным хранилищам паролей», — сказал тогда Тубба.
Злоумышленник, очевидно, смог получить доступ к среде разработки компании через скомпрометированную конечную точку разработчика.
Расследование и судебно-медицинская экспертиза не смогли определить точный метод, использованный для первоначальной компрометации конечной точки. Тубба сказал, что злоумышленники использовали свой постоянный доступ, чтобы выдать себя за разработчика после успешной аутентификации с помощью многофакторной аутентификации.