LastPass informuje swoją społeczność nie tylko o incydencie dotyczącym nieupoważnionego dostępu, lecz także wyników przeprowadzonego w tej sprawie śledztwa. Oto nowa aktualizacja danych dotyczących ataku z sierpnia 2022 roku.
Do naszej społeczności LastPass,
niedawno poinformowaliśmy, że nieupoważniona osoba uzyskała dostęp do usługi przechowywania danych w chmurze, którą LastPass wykorzystuje do przechowywania archiwalnych kopii zapasowych naszych danych produkcyjnych. Zgodnie z naszym zobowiązaniem do przejrzystości, chcemy przedstawić Wam aktualne informacje dotyczące naszego trwającego śledztwa.
Czego się dowiedzieliśmy?
Na podstawie naszego dotychczasowego śledztwa dowiedzieliśmy się, że nieznany sprawca zagrożenia uzyskał dostęp do środowiska przechowywania danych w chmurze, wykorzystując informacje uzyskane z incydentu, który ujawniliśmy w sierpniu 2022 roku. Podczas incydentu z sierpnia 2022 r. nie uzyskano dostępu do żadnych danych klientów, ale niektóre kody źródłowe i informacje techniczne zostały skradzione z naszego środowiska programistycznego i wykorzystane do namierzenia innego pracownika, uzyskania danych uwierzytelniających i kluczy, które następnie zostały wykorzystane do uzyskania dostępu i odszyfrowania niektórych woluminów pamięci w ramach usługi przechowywania w chmurze.
Usługi produkcyjne LastPass działają obecnie z lokalnych centrów danych, a pamięć masowa w chmurze jest wykorzystywana do różnych celów, takich jak przechowywanie kopii zapasowych i regionalne wymagania dotyczące rezydencji danych. Usługa przechowywania danych w chmurze, do której uzyskał dostęp podmiot odpowiedzialny za zagrożenie, jest fizycznie oddzielona od naszego środowiska produkcyjnego.
Do tej pory ustaliliśmy, że po uzyskaniu klucza dostępu do magazynu w chmurze i kluczy deszyfrujących do kontenera z podwójnym magazynem, aktor zagrożenia skopiował z kopii zapasowej informacje zawierające podstawowe informacje o kontach klientów i związane z nimi metadane, w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass.
Aktor zagrożenia był również w stanie skopiować kopię zapasową danych skarbca klienta z zaszyfrowanego kontenera pamięci, który jest przechowywany w zastrzeżonym formacie binarnym, który zawiera zarówno niezaszyfrowane dane, takie jak adresy URL stron internetowych, jak i w pełni zaszyfrowane wrażliwe pola, takie jak nazwy użytkowników i hasła do stron internetowych, bezpieczne notatki i wypełnione dane. Te zaszyfrowane pola są zabezpieczone 256-bitowym szyfrowaniem AES i mogą być odszyfrowane tylko za pomocą unikalnego klucza szyfrowania uzyskanego z hasła głównego każdego użytkownika przy użyciu naszej architektury Zero Knowledge. Dla przypomnienia, hasło główne nigdy nie jest znane LastPass i nie jest przez niego przechowywane ani utrzymywane. Szyfrowanie i deszyfrowanie danych odbywa się tylko na lokalnym kliencie LastPass. Więcej informacji na temat architektury Zero Knowledge i algorytmów szyfrowania można znaleźć tutaj.
Nie ma dowodów na to, że uzyskano dostęp do jakichkolwiek niezaszyfrowanych danych kart kredytowych. LastPass nie przechowuje pełnych numerów kart kredytowych, a informacje o kartach kredytowych nie są archiwizowane w tym środowisku przechowywania w chmurze.
Co to oznacza? Czy moje dane są zagrożone?
Podmiot zagrażający może próbować wykorzystać metodę brute force, aby odgadnąć Twoje hasło główne i odszyfrować kopie danych ze skarbca, które zabrał. Ze względu na metody haszowania i szyfrowania, których używamy do ochrony naszych klientów, próba odgadnięcia hasła głównego przy użyciu brute force byłaby niezwykle trudna dla tych klientów, którzy przestrzegają naszych najlepszych praktyk dotyczących haseł. Rutynowo testujemy najnowsze technologie łamania haseł w odniesieniu do naszych algorytmów, aby dotrzymać kroku i udoskonalić nasze kontrole kryptograficzne.
Podmiot zagrażający może również atakować klientów phishingiem, wypychać dane uwierzytelniające lub używać innych ataków typu brute force na konta online powiązane ze skarbcem LastPass. Aby zabezpieczyć się przed atakami socjotechnicznymi lub phishingiem, warto wiedzieć, że LastPass nigdy nie zadzwoni, nie wyśle wiadomości e-mail ani SMS-a z prośbą o kliknięcie linku w celu weryfikacji danych osobowych. Poza logowaniem się do skarbca za pomocą klienta LastPass, LastPass nigdy nie poprosi o podanie hasła głównego.
Co powinni zrobić klienci LastPass?
Dla przypomnienia, domyślne ustawienia hasła głównego LastPass i najlepsze praktyki obejmują następujące kwestie:
• Od 2018 roku wymagamy minimum dwunastoznakowego hasła głównego. To znacznie minimalizuje możliwość skutecznego odgadnięcia hasła metodą brute force.
• Aby jeszcze bardziej zwiększyć bezpieczeństwo hasła głównego, LastPass wykorzystuje silniejszą niż typowa implementację 100 100 iteracji funkcji Password-Based Key Derivation Function (PBKDF2), algorytmu wzmacniania hasła, który utrudnia odgadnięcie hasła głównego. Możesz sprawdzić aktualną liczbę iteracji PBKDF2 dla swojego konta LastPass tutaj.
• Zalecamy również, aby nigdy nie używać ponownie swojego hasła głównego na innych stronach internetowych. Jeśli ponownie użyjesz swojego hasła głównego, a hasło to zostało kiedykolwiek złamane, aktor może użyć zrzutów ujawnionych danych uwierzytelniających, które są już dostępne w Internecie, aby spróbować uzyskać dostęp do konta (jest to określane jako atak “credential stuffing”).
Jeśli użyjesz powyższych ustawień domyślnych, odgadnięcie Twojego hasła głównego przy użyciu ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat. Twoje wrażliwe dane w skarbcu, takie jak nazwy użytkowników i hasła, bezpieczne notatki, załączniki i pola wypełniania formularzy, pozostają bezpiecznie zaszyfrowane w oparciu o architekturę LastPass Zero Knowledge. W tej chwili nie ma żadnych zalecanych działań, które należy podjąć.
Należy jednak pamiętać, że jeśli Twoje hasło główne nie korzysta z powyższych domyślnych ustawień, to znacznie zmniejszy to liczbę prób potrzebnych do jego prawidłowego odgadnięcia. W takim przypadku, jako dodatkowy środek bezpieczeństwa, należy rozważyć zminimalizowanie ryzyka poprzez zmianę haseł w witrynach, które zostały zapisane.
Dla klientów biznesowych, którzy wdrożyli usługi LastPass Federated Login, LastPass utrzymuje naszą architekturę Zero Knowledge i wdraża ukryte hasło główne do szyfrowania danych w skarbcu. W zależności od wybranego modelu implementacji, to ukryte hasło główne jest w rzeczywistości kombinacją dwóch lub więcej oddzielnie przechowywanych, 256-bitowych lub 32-znakowych kryptograficznie wygenerowanych losowych ciągów, które muszą być specjalnie połączone, aby mogły być użyte (możesz przeczytać więcej na ten temat w naszym technicznym dokumencie tutaj).
Aktor zagrożenia nie miał dostępu do fragmentów kluczy przechowywanych w infrastrukturze klienta Identity Provider lub LastPass i nie były one zawarte w kopiach zapasowych, które zostały skopiowane, a zawierały skarbce klienta. W związku z tym, jeśli wdrożyłeś Federated Login Services, nie musisz podejmować żadnych dodatkowych działań.
Należy jednak pamiętać, że jeśli jesteś klientem biznesowym, który nie korzysta z Federated Login, a Twoje hasło główne nie korzysta z powyższych domyślnych ustawień, to znacznie zmniejszyłoby to liczbę prób potrzebnych do jego prawidłowego odgadnięcia. W tym przypadku, jako dodatkowy środek bezpieczeństwa, powinieneś rozważyć zminimalizowanie ryzyka poprzez zmianę haseł na stronach internetowych, które przechowujesz.
Co zrobiliśmy i co robimy?
W odpowiedzi na incydent z sierpnia 2022 r. wyeliminowaliśmy wszelkie możliwości dostępu do środowiska programistycznego LastPass, likwidując je w całości i odbudowując nowe środowisko od podstaw. Wymieniliśmy również i utwardziliśmy maszyny deweloperskie, procesy i mechanizmy uwierzytelniania.
Dodaliśmy dodatkowe możliwości rejestrowania i ostrzegania, aby pomóc w wykrywaniu wszelkich dalszych nieautoryzowanych działań, w tym drugą linię obrony z wiodącym dostawcą zarządzanego rozwiązania do wykrywania i reagowania na incydenty, aby uzupełnić nasz własny zespół. Kontynuowaliśmy również realizację naszych planów wdrożenia nowego, w pełni dedykowanego zestawu środowisk rozwojowych i produkcyjnych LastPass.
W odpowiedzi na ten ostatni incydent, aktywnie rotujemy wszystkie istotne dane uwierzytelniające i certyfikaty, które mogły zostać dotknięte i uzupełniamy istniejące zabezpieczenia punktów końcowych. Przeprowadzamy również szczegółową analizę każdego konta z oznakami podejrzanej aktywności w naszej usłudze przechowywania danych w chmurze, dodajemy dodatkowe zabezpieczenia w tym środowisku i analizujemy wszystkie dane w tym środowisku, aby upewnić się, że rozumiemy, do czego miał dostęp aktor zagrożenia.
Powiadomiliśmy już niewielką część (mniej niż 3%) naszych klientów biznesowych, zalecając im podjęcie określonych działań w oparciu o ich specyficzne konfiguracje kont. Jeśli jesteś klientem biznesowym i nie skontaktowano się jeszcze z Tobą w celu podjęcia działań, to w tej chwili nie ma żadnych innych zalecanych działań.
Śledztwo w tej sprawie jest w toku. Ze względu na dużą ostrożność powiadomiliśmy o tym zdarzeniu organy ścigania i odpowiednie organy regulacyjne. Zobowiązujemy się do informowania Państwa na bieżąco o naszych ustaleniach oraz do informowania Państwa o działaniach, które podejmujemy, a także o wszelkich działaniach, które mogą być konieczne do wykonania. W międzyczasie nasze usługi działają normalnie, a my nadal działamy w stanie podwyższonej gotowości.
Dziękujemy za ciągłe wsparcie i cierpliwość, gdy kontynuujemy pracę nad tym incydentem.
Karim Toubba
CEO LastPass
