Salasananhallintaohjelmistoa kehittävä LastPass antoi lisätietoa siihen kohdistuneesta tietomurrosta joulukuussa.
Hyökkääjät saivat tuolloin käsiinsä osittain LastPassin salasanaholvin ja asiakastietoja. Käyttäjien on ollut syytä vaihtaa LastPassissa olleet salasanat, sillä tietomurtautujille päätynyt holvin osa tulee murretuksi jossain vaiheessa.
LastPassin selvitysten mukaan joulukuun murto sai alkunsa jo elokuussa. Yhtiö tiedotti tuolloin, että järjestelmään oli murtauduttu, mutta mitään asiakastietoja tai salasanoja ei ollut varastettu.
Hyökkääjät varastivat kuitenkin teknistä dokumentaatiota ja lähdekoodia, joita hyödynnettiin myöhemmässä iskussa LastPassin salattuun AWS S3 -säiliöön.
Lisäksi hyökkääjät kohdistivat iskun LastPassin DevOps-kehittäjään. Ainoastaan neljällä LastPassin kehittäjällä oli hallussa tietojen selvittämiseen tarvittava salauksenpurkuavain. Hakkerit asensivat yhden kehittäjän kotikoneelle onnistuneesti keylogger-ohjelmiston, joka seurasi näppäimistön toimintaa.
Keylogger asennettiin kolmannen osapuolen ohjelmistossa olevaa turva-aukkoa hyödyntäen.
LastPassin mukaan hyökkääjät saivat siepattua työntekijän salasanan kirjoittamisen yhteydessä ja pääsivät samalla monivaiheisella tunnistautumisella sisään työntekijän LastPass-salasanaholviin.
Tämän jälkeen hyökkääjät kaappasivat AWS S3:een tarvittavat salasanat ja muut salatut tiedot ja pääsivät koko LastPassin säiliöön.
Hyökkääjillä oli pääsy LastPassin järjestelmiin yli kahden kuukauden ajan 12.8.-26.10.2022. Murto paljastui lopulta AWS:n hälytysten kautta, kun murtautuja yritti tehdä AWS:n sisällä asioita, mihin käyttäjäroolin oikeudet eivät riittäneet.
LastPass kertoo nyt kiristäneensä turvatoimiaan entisestään, jottei vastaavaa enää pääsisi tapahtumaan.
Murtautujilla on ollut pääsy varsin monenlaisiin tietoihin. Tarkka kuvaus löytyy taulukosta LastPassin sivuilta.
Yhtiö on julkaissut myös ohjeistusta, mitä käyttäjien ja ylläpitäjien kannattaa tehdä. Linkit alla:
- Recommended Actions for Free, Premium, and Families Customers
- Recommended Actions for LastPass Business Administrators
- What data was accessed?
Kuva Clint Patterson Unsplash
