LastPass資料洩露事件最新細節，工程師電腦被植入鍵盤記錄器

前不久曾報導過知名密碼管理軟體——LastPass發生的一起嚴重資料洩露事件。而在最近，LastPass關於其資料洩露事件的調查又有了新進展。據其透露，攻擊者最初是感染了LastPass一名DevOps工程師的個人電腦，隨後從其Amazon AWS雲端儲存伺服器中竊取了敏感資料。

LastPass被個人和企業用來安全地儲存及管理密碼，並因其高水平的安全性而受到信賴。但在去年，攻擊者從其雲端儲存中匯出了敏感的基本客戶帳戶資訊，如公司名稱、使用者名稱、地址、電子郵件地址、電話號碼，以及客戶訪問LastPass服務的IP地址等。網路安全產品測評網站 Security.org 對一千多名美國人進行的一項調查顯示，2021年最受歡迎的密碼管理工具LastPass在2022年下滑到第四位。

根據LastPass最近釋出的公告，僅有四名工程師能夠訪問LastPass AWS雲端儲存服務所需的解密金鑰。（雲備份包括未加密的客戶帳戶資訊以及使用256位AES加密保護的敏感欄位）

而駭客的攻擊就透過針對這些DevOps工程師的個人電腦，並利用易受攻擊的第三方媒體軟體包來實現。該軟體包啟用了遠端程式碼執行功能，藉此攻擊者能在工程師的裝置上植入鍵盤記錄器惡意軟體。在工程師透過MFA進行身份驗證後，攻擊者能夠在其輸入時捕獲工程師的主密碼，繼而獲取了對DevOps工程師的LastPass公司保險庫的訪問許可權。

接著，攻擊者從中匯出了資料保險庫和共享資料夾的內容，其中包含加密的安全註釋、AWS S3 LastPass生產備份、其他基於雲的儲存資源以及一些相關關鍵資料庫備份所需的訪問和解密金鑰。

由於攻擊者使用的是有效的憑據，這使得LastPass很難檢測到其入侵行為，並使該攻擊者有充足的時間從LastPass的雲端儲存伺服器竊取資料。據報導，攻擊者訪問該系統達兩個多月。在事件的最後，當攻擊者嘗試使用身份識別和訪問管理（IAM）執行未經授權的任務時，LastPass透過AWS GuardDuty警報檢測到了異常行為。

LastPass表示，它已經更新了其安全系統，採取的措施包括輪換敏感憑據和身份驗證金鑰、吊銷證書、新增額外的警報日誌以及更嚴格的安全策略。另外，LastPass的客戶最好更改主密碼以及儲存在其密碼保險庫中的所有密碼。

編輯：左右裡

資訊來源：LastPass

轉載請註明出處和本文連結

每日漲知識

組（group）

訪問控制管理的簡化機制，與角色類似。類似的使用者成為一個組的成員。為組分配針對某個物件的訪問許可權。因此，組中的所有成員對此物件具有相同的訪問許可權。組的使用大大簡化了管理使用者訪問物件的行政性開銷。

﹀

﹀

﹀