Molti di voi ricorderanno sicuramente la notizia relativa al data breach di LastPass, uno dei più noti servizi di password manager al mondo, che ha portato alla fuga di dati di milioni di utenti oltre al furto del codice sorgente.
Il 2022 non è stato certamente l’anno migliore per la società che gestisce il servizio, in quanto è stata vittima di diverse intrusioni che hanno decisamente fatto perdere di credibilità al password manager più usato sul web. L’ultimo attacco risale a Dicembre 2022 e inizialmente era stata comunicata solamente la violazione, che risiede nella violazione di un sistema gestito da un ingegnere DevOps di LastPass, vittima di un keylogger che ha permesso di ricavare le credenziali per ottenere l’accesso ai bucket Amazon S3 crittografati dell’azienda. Sfruttando una vulnerabilità di esecuzione del codice da remoto (RCE), gli hacker sono riusciti a installare nel sistema un malware che potesse raccogliere tutte le informazioni digitate dall’ingegnere, ottenendo così dati utili per l’accesso ai sistemi interni.
L’uso di credenziali valide ha reso difficile per gli investigatori dell’azienda rilevare l’attività dell’autore della minaccia, consentendo all’hacker di accedere e rubare dati dai server di archiviazione cloud di LastPass per oltre due mesi, tra il 12 agosto 2022 e il 26 ottobre 2022. LastPass ha infine rilevato il comportamento anomalo tramite AWS GuardDuty Alerts quando l’autore della minaccia ha tentato di utilizzare i ruoli di Cloud Identity and Access Management (IAM) per eseguire attività non autorizzate. Fortunatamente ora è stata migliorata la sicurezza dell’infrastruttura, includendo un sistema di rotazione delle credenziali/token e la revoca di certificati dopo un determinato lasso di tempo.
Tra i dati rubati durante il 2022 troviamo:
- Sviluppo on-demand basato su cloud e repository di codice sorgente : includeva 14 repository di software su 200.
- Script interni dai repository : contenevano segreti e certificati LastPass.
- Documentazione interna : informazioni tecniche che descrivono il funzionamento dell’ambiente di sviluppo.
- Segreti DevOps : segreti riservati utilizzati per ottenere l’accesso al nostro archivio di backup basato su cloud.
- Archiviazione di backup basata su cloud : conteneva dati di configurazione, segreti API, segreti di integrazione di terze parti, metadati del cliente e backup di tutti i dati del vault del cliente. Tutti i dati sensibili del caveau del cliente, diversi dagli URL, i percorsi dei file del software LastPass Windows o macOS installato e alcuni casi d’uso che coinvolgono gli indirizzi e-mail, sono stati crittografati utilizzando il nostro modello di conoscenza zero e possono essere decrittografati solo con una chiave di crittografia univoca derivata dal master di ciascun utente parola d’ordine. Come promemoria, le password principali dell’utente finale non sono mai note a LastPass e non sono archiviate o gestite da LastPass, pertanto non sono state incluse nei dati esfiltrati.
- Backup del database LastPass MFA/Federation : conteneva copie dei semi di LastPass Authenticator, numeri di telefono utilizzati per l’opzione di backup MFA (se abilitata), nonché un componente di conoscenza suddiviso (la “chiave” K2) utilizzato per la federazione LastPass (se abilitata). Questo database è stato crittografato, ma la chiave di decrittazione archiviata separatamente è stata inclusa nei segreti rubati dall’autore della minaccia durante il secondo incidente.
Fonte: Bollettino di sicurezza LastPass