LastPass a signalé que l’ordinateur personnel d’un ingénieur DevOps a été compromis pour voler des données de coffre-fort de mots de passe lors de la violation de données d’août 2022.
LastPass a perdu des données de coffre-fort lors de la brèche de 2022.
Le gestionnaire de mots de passe LastPass a révélé plus d’informations sur sa violation de données du mois d’août 2022, déclarant que l’ordinateur personnel d’un ingénieur DevOps a été piraté pour voler les données du coffre-fort des mots de passe.
Le 27 février 2023, LastPass a publié un avis de sécurité concernant la violation de données subie en août 2022. LastPass avait déjà informé ses lecteurs que les coffres-forts des clients avaient été touchés par l’attaque, une autre attaque ayant eu lieu en novembre 2022 et étant liée à la première. Lors de la première attaque, 53 000 dollars en bitcoins auraient également été volés, ce qui a donné lieu à un recours collectif.
Dans l’avis de sécurité de LastPass, il est écrit que, lors de l’attaque d’août 2022, l’opérateur malveillant a pu « tirer parti des informations d’identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage en nuage partagé, ce qui a initialement rendu difficile pour les enquêteurs de différencier l’activité de l’acteur de la menace de l’activité légitime en cours. »
L’ingénieur DevOps avait accès aux clés de décryptage, ce qui en faisait une cible de choix pour l’attaquant. Ces clés permettaient d’accéder aux services de stockage en nuage de LastPass, qui contiennent les données des clients de LastPass et les données cryptées des coffres. Seuls quatre ingénieurs DevOps de LastPass avaient accès à ces clés, et un seul a été ciblé avec succès.
LastPass a également déclaré que « l’acteur de la menace a pivoté par rapport au premier incident, qui s’est terminé le 12 août 2022, mais était activement engagé dans une nouvelle série d’activités de reconnaissance, d’énumération et d’exfiltration alignées sur l’environnement de stockage en nuage s’étendant du 12 août 2022 au 26 octobre 2022. » Ce n’est que lorsque les alertes AWS GuardDuty ont signalé à LastPass une activité inhabituelle que le problème a été mis en évidence.
Un logiciel a été exploité pour compromettre le PC ciblé.
Afin de pirater l’ordinateur personnel de l’ingénieur DevOps, l’attaquant a exploité un progiciel tiers vulnérable. Grâce à cette exploitation, l’attaquant a pu activer et exécuter du code à distance, ce qui a conduit à l’installation d’un logiciel malveillant enregistreur de frappe. Ce keylogger a ensuite été utilisé pour voler le mot de passe principal de l’employé et accéder à la chambre forte de LastPass.
Après avoir accédé à la chambre forte, l’acteur malveillant a exporté les entrées de la chambre forte et le contenu des dossiers partagés. Les données exportées contenaient des notes sécurisées cryptées, ainsi que les clés de décryptage de LastPass. Ces clés étaient nécessaires pour « accéder aux sauvegardes de production AWS S3 LastPass, à d’autres ressources de stockage en nuage et à certaines sauvegardes de base de données critiques connexes ».
Des utilisateurs remettent en question l’intégrité de LastPass
Alors que certains utilisateurs apprécient la transparence de LastPass concernant cet incident, beaucoup sont furieux des problèmes de sécurité persistants dont souffre l’entreprise. Des utilisateurs mécontents se sont rendus sur Twitter pour exprimer leurs sentiments sur l’intégrité de la sécurité de LastPass. Comme on peut le voir ci-dessous, une personne a critiqué la décision de LastPass d’accorder à certains employés l’accès à un coffre-fort de mots de passe décrypté.
La réputation de LastPass semble entachée par ces attaques.
Après avoir connu de nombreux problèmes de sécurité ces dernières années, les gens se demandent maintenant si LastPass est une option légitime pour le stockage des mots de passe. Certains utilisateurs ayant déjà abandonné LastPass, on ne sait pas comment ce gestionnaire de mots de passe va résister à cette tempête.
