Marcos Souza 
A LastPass, que em dezembro de 2022 revelou uma grave violação de dados que permitia aos hackers acessar cofres com senhas criptografadas, disse que isso aconteceu como resultado do primeiro ataque a seus sistemas. Saiba mais em LastPass admite grave violação de dados e cofres de senhas de clientes roubados
Ataque continuo roubou dados em nuvem AWS
A empresa disse que um de seus engenheiros DevOps teve seu computador pessoal doméstico violado e infectado com um keylogger como parte de um ataque cibernético contínuo que exfiltrava dados sensíveis de seus servidores de armazenamento em nuvem da Amazon AWS.
“O ator da ameaça aproveitou informações roubadas durante o primeiro incidente, informações disponíveis de uma violação de dados de terceiros e uma vulnerabilidade em um pacote de software de mídia de terceiros para lançar um segundo ataque coordenado”, disse o serviço de gerenciamento de senhas.
Hacker teve acesso por meses
Esta intrusão visou a infra-estrutura da empresa, os recursos e um de seus funcionários de 12 de agosto de 2022 a 26 de outubro de 2022. O incidente original, por outro lado, terminou em 12 de agosto de 2022.
A violação que ocorreu em agosto viu os intrusos acessando o código fonte e informações técnicas proprietárias de seu ambiente de desenvolvimento por meio de uma única conta de funcionário comprometida.
Em dezembro de 2022, a LastPass revelou que o ator da ameaça aproveitou as informações roubadas para acessar um ambiente de armazenamento baseado em nuvem e obter “certos elementos das informações de nossos clientes”.
Mais tarde, no mesmo mês, o atacante desconhecido revelou ter obtido acesso a um backup dos dados do cofre do cliente que, segundo ele, estava protegido usando criptografia AES de 256 bits. Ele não divulgou o quão recente era o backup.
GoTo, a empresa-mãe da LastPass, também confessou uma violação no mês passado decorrente de acesso não autorizado ao serviço de armazenamento em nuvem de terceiros.
O alcance do ataque foi maior do que divulgado inicialmente
Agora, de acordo com a empresa, o ator da ameaça se envolveu em uma nova série de “atividades de reconhecimento, enumeração e exfiltração” destinadas a seu serviço de armazenamento em nuvem entre agosto e outubro de 2022.
“Especificamente, o ator da ameaça foi capaz de aproveitar credenciais válidas roubadas de um engenheiro sênior da DevOps para acessar um ambiente de armazenamento em nuvem compartilhado”, disse LastPass, acrescentando que o engenheiro “teve acesso às chaves de decriptação necessárias para acessar o serviço de armazenamento em nuvem”.
Acesso a contêiner na AWS S3
O segundo ataque permitiu obter acesso aos conteiners AWS S3 que abrigavam backups dos clientes da LastPass e dados criptografados do cofre, observou ainda.
Diz-se que as senhas dos funcionários foram extraídas do computador de casa do indivíduo e que o uso de um “pacote de software de mídia vulnerável de terceiros” permitiu a execução remota do código e a instalação de um software de keylogger.
“O ator da ameaça foi capaz de capturar a senha mestra do funcionário quando ela foi inserida, após o funcionário ter se autenticado com o MFA, e obter acesso ao cofre corporativo do engenheiro DevOps LastPass”, disse LastPass.
Falha de segurança do Plex pode ter facilitado
O LastPass não revelou o nome do software de mídia de terceiros utilizado, mas há indicações de que poderia ser o Plex com base no fato de ter sofrido uma violação própria no final de agosto de 2022.
No rescaldo do incidente, a LastPass disse que atualizou sua postura de segurança através da rotação de credenciais críticas e de altos privilégios e da reemissão de certificados obtidos pelo ator da ameaça, e que aplicou medidas extras de endurecimento S3 para colocar em prática mecanismos de registro e alerta.
Troque todas senhas salvas no LastPass
Os usuários da LastPass são altamente recomendados a mudar suas senhas mestras e todas as senhas armazenadas em seus cofres para mitigar riscos potenciais, se ainda não o fizeram.
Curta, comente e compartilhe conosco suas opiniões abaixo sobre o segundo ataque sofrido pelo LastPass.
