本周稍早LastPass说明去年8月一连串被黑事件的调查结果,显示祸首是高端员工家中计算机被黑,导致该公司系统登录凭证外泄。
去年8月密码管理服务商LastPass公司网络遭黑客窃走部分技术资讯及程序代码,引发了11月用户密码存储库的黑入事件。而在安全厂商Mandiant的协助下,LastPass本周公布了整起事件始末。
LastPass指出,第一次事件在8月12日结束,但黑客利用这次取得的资讯,从8月12日到10月26日进行一连串的侦察、枚举及资料外泄行动,以入侵LastPass的云计算存储环境。这个位于AWS S3的存储环境即存储了LastPass客户文件备份,包括公司名称、电子邮件、IP地址、密码及加密存储库资料,厂商于今年1月证实已外泄。
这个人信息源原本具有加密防护,包括AWS S3-SSE、S3-KMS或S3-SSE-C技术加密防护,要访问这个bucket,攻击者必须具备AWS访问密钥及LastPass产生的解密密钥。而为了取得这些密钥,攻击者策划了阶段性攻击行动。
在第一次事件中,黑客先是锁定4位拥有解密密钥的DevOps工程师,结果有一位被成功入侵。攻击者是利用这位资深工程师家中计算机中一个第三方媒体软件组件的漏洞,进行远程程序代码攻击,在计算机中植入了键盘监听程序。攻击者在这名员工登录DevOps系统验证MFA时,成功截取到主密码,即成功访问该DevOps员工的LastPass密码存储库(vault)。
接着黑客将原生的密码存储库内容及共享文件夹的内容导出。这个共享文件夹内置的加密记事中,则有访问AWS S3上LastPass运营环境备份、云计算存储资源及一些关键数据库备份的登录凭证和解密密钥。当然也包含了客户密码备份及加密密钥。最后,黑客因使用云计算身份及访问管理(Identity and Access Management,IAM)进行非授权活动,触发了AWS系统通报,才让LastPass第一次得知黑入事件。
在得知黑入事件后,除了展开调查,LastPass的回应措施还包括启动以微软Authenticator的条件式访问PIN比对多因素验证(PIN-matching)、轮换关键及高权限的登录凭证、撤销且再发布凭证。
不过,就算LastPass再怎么解释也平息不了客户的怒火。已经有一群用户因这起资料外泄案,今年1月对该公司提起集体诉讼。