Mới đây, LastPass lại một lần nữa phải thông báo cho khách hàng của mình về sự cố bảo mật liên quan đến vi phạm môi trường phát triển vào tháng 8/2022 và sau đó là truy cập trái phép vào dịch vụ lưu trữ đám mây bên thứ ba của công ty, nơi lưu trữ các bản sao lưu.
Cụ thể, kẻ tấn công đã sử dụng thông tin bị đánh cắp trong vụ vi phạm vào tháng 8 và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao và giành được quyền truy cập vào các bucket Amazon S3 đã được mã hóa của công ty.
Vì chỉ có bốn kỹ sư DevOps cấp cao của LastPass mới có quyền truy cập vào các khóa giải mã này nên kẻ tấn công đã nhắm mục tiêu vào một trong số họ. Cuối cùng, kẻ tấn công đã cài đặt thành công keylogger trên thiết bị của kỹ sư đó bằng cách khai thác lỗ hổng thực thi mã từ xa trong một phần mềm truyền thông của bên thứ ba.
LastPass cho biết thêm, kẻ tấn công đã lợi dụng thông tin bị đánh cắp trong sự cố đầu tiên và có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đã xác thực bằng MFA và có quyền truy cập vào kho lưu trữ LastPass của kỹ sư DevOps. Sau đó, kẻ tấn công đã trích xuất các dữ liệu được lưu trữ trong đó gồm nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu AWS S3 LastPass đang dùng trong thực tế, các tài nguyên lưu trữ trên cloud khác và một số bản sao lưu cơ sở dữ liệu quan trọng liên quan.
Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ xâm nhập, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ cloud của LastPass trong hơn hai tháng, từ ngày 12/8 đến ngày 26/10/2022.
LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ tấn công cố gắng sử dụng quyền quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.
Công ty cho biết kể từ đó họ đã tăng cường bảo mật của mình, bao gồm thay đổi thông tin đăng nhập nhạy cảm và khóa/mã token xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.
Truy cập vào kho dữ liệu lớn của LastPass
LastPass cũng đã tiết lộ chi tiết về thông tin nào của khách hàng đã bị đánh cắp trong cuộc tấn công. Dữ liệu bị lộ rất rộng và đa dạng, bao gồm từ các thành phần xác thực đa yếu tố, các khóa tích hợp (integration secrets) API MFA cho đến khóa phân tách K2 (Split knowledge component Key) dành cho khách hàng doanh nghiệp được liên kết.
Ngoài các dữ liệu trên, một số mã nguồn, tập lệnh, tài liệu nội bộ và một số dữ liệu sao lưu (đã được mã hóa) của LastPass cũng đã bị truy cập trái phép trong hai vụ vi phạm trên.
LastPass lưu ý rằng, tất cả dữ liệu nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp nhất định liên quan đến địa chỉ email đều được mã hóa bằng mô hình Zero knowledge của LastPass và chỉ có thể được giải mã bằng mật khẩu chính của mỗi người dùng. Mật khẩu chính của người dùng không bao giờ được LastPass biết cũng như không được LastPass lưu trữ, do đó, chúng không được đưa vào dữ liệu bị lộ.
LastPass đã phát hành một tệp hướng dẫn để cập nhật các sự cố bảo mật và đề xuất các phương án mà khách hàng có thể thực hiện để bảo vệ môi trường của họ.
Nguyễn Chân
17:00 | 08/12/2021
15:00 | 30/08/2022
08:00 | 05/03/2021
16:16 | 31/03/2017
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
13:00 | 25/12/2024
Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
14:00 | 10/12/2024
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.
15:00 | 23/01/2025