Làm thế nào tin tặc có được quyền truy cập vào kho bảo mật dữ liệu khách hàng LastPass? Trong một bài đăng trên blog, người quản lý mật khẩu viết rằng nguyên nhân là do máy tính ở nhà không an toàn.
Tin tặc đã giành được quyền truy cập vào khóa giải mã của kho chứa dữ liệu khách hàng thông qua máy tính tại nhà của một kỹ sư DevOps. LastPass giải thích rằng trong một bài viết trên blog. Cuộc tấn công vào nhân viên đã cho phép tin tặc truy cập vào tên, địa chỉ e-mail, địa chỉ thanh toán, số điện thoại và địa chỉ IP của khách hàng, cùng nhiều thứ khác. Ngoài ra, tin tặc còn có quyền truy cập vào kho mật khẩu (được mã hóa), ghi chú và tên người dùng của khách hàng LastPass.
Đã có cuộc tấn công 2 các bước thực hiện
Trước khi tin tặc có được quyền truy cập vào dữ liệu đó, môi trường phát triển của LastPass đã bị truy cập vào tháng 8. Vào thời điểm đó, người quản lý mật khẩu báo cáo rằng chỉ có mã nguồn và thông tin kỹ thuật của dịch vụ bị đánh cắp trong cuộc tấn công đó. Thông báo mới nhất thay đổi kết luận đó: trên môi trường phát triển, tin tặc cũng tìm thấy chi tiết đăng nhập và khóa để truy cập vào môi trường đám mây S3 của công ty. LastPass lưu trữ các bản sao lưu dữ liệu khách hàng bị khóa thông qua môi trường đám mây.
Trong sự cố bảo mật thứ hai, diễn ra từ ngày 12 tháng 8 đến ngày 26 tháng 10, tin tặc đã chiếm được các bản sao lưu được mã hóa đó. Trong khi tin tặc có quyền truy cập vào môi trường đám mây bằng thông tin xác thực từ cuộc tấn công đầu tiên, hệ thống lưu trữ đám mây AWS S3 chứa một lớp bảo mật bổ sung. Lớp bảo mật mà tin tặc chưa vượt qua được trong cuộc tấn công đầu tiên vào tháng 8.
Máy tính gia đình bị xâm nhập
Để có quyền truy cập vào bộ lưu trữ đám mây, một nhân viên của nhóm DevOps đã bị tấn công. Trước cuộc tấn công đó, một lỗ hổng trong trình phát đa phương tiện trên máy tính ở nhà của nhân viên LastPass đã bị khai thác. Trong cuộc tấn công, kẻ tấn công đã cài đặt cái gọi là phần mềm độc hại keylogger để ghi lại mật khẩu đã nhập. Kết quả là cả mật khẩu Master và mã 2FA của nhân viên đều bị chặn. Ngay sau khi dữ liệu bị chặn, kẻ tấn công đã có được quyền truy cập vào kho tiền được mã hóa.
Điều đáng chú ý là bộ lưu trữ đám mây bảo mật S3 cũng ngay lập tức chứa các khóa giải mã để mở khóa kho bảo mật. Công ty tuyên bố rằng những khóa đó được lưu trữ trong các ghi chú an toàn. Người ta không biết nó đã bảo mật những tờ tiền đó mạnh đến mức nào.
Chỉ trích chính sách bảo mật của LastPass
LastPass đã bị các chuyên gia bảo mật chỉ trích kể từ khi các cuộc tấn công được công bố. Theo các chuyên gia, công ty đang cố gắng che giấu sự việc và những bình luận của công ty về kho mật khẩu bị rò rỉ có thể được gọi là ‘thông thường’. Công ty đã tuyên bố vào cuối tháng 12 rằng kho mật khẩu của họ ‘không thể bẻ khóa’ và khách hàng không phải lo lắng về điều này.
