LastPass数据在2022年8月被盗并用于12月的攻击

LastPass透露，2022年12月入侵该公司系统的威胁行为者利用了此前8月的一次攻击所窃取的信息。

该公司周一在一篇博客文章中表示，虽然在2022年8月的事件中没有客户数据被盗，但一些源代码和技术信息是通过DevOps工程师的一台家用电脑从LastPass开发环境中获得的。

从技术角度来看，这些信息是通过安装在员工设备上的键盘记录器获取的，该记录器利用了第三方媒体软件包中的远程代码执行(RCE)漏洞。

该公司表示，这些信息随后被用于针对另一名员工，威胁行为者获得了凭据和密钥，随后在12月的攻击中用于访问和解密云存储服务中的某些存储卷。

该公司写道:“我们已经确定，一旦获得云存储访问密钥和双存储容器解密密钥，威胁行为者就会从包含基本客户帐户信息和相关元数据的备份中复制信息。”

这些信息包括公司名称、最终用户名称、账单地址、电子邮件地址和电话号码，以及客户访问LastPass网站所使用的IP地址。

LastPass继续说:“威胁行为者还能够从加密的存储容器中复制客户金库数据的备份，该容器以专有的二进制格式存储，其中既包含未加密的数据，如网站url，也包含完全加密的敏感字段，如网站用户名和密码，安全备注和表单填充数据。”

Versa Networks的首席技术官马丁·麦凯（Martin Mackay）表示，LastPass的漏洞更新是一个鲜明的提醒，远程工作和自带设备(BYOD)正在越来越模糊家庭和工作网络之间的界限。

麦凯在一封电子邮件中告诉Infosecurity：“人们认为，如果一台个人家用电脑上没有任何价值，那么它就不会成为网络罪犯的目标。然而，这根本不是真的。威胁行为者会利用任何安全漏洞或弱点，首先破坏网络，然后横向移动到他们的预定目标。在这种情况下，这是来自云存储的企业数据。”

更一般地说，KnowBe4的首席安全意识倡导者Javvad Malik说，这起事件是一个持续的教科书式攻击，威胁行为者分阶段增加了他们的立足点，而不是突然行动。

马利克通过电子邮件告诉Infosecurity:“我们经常看到遭受攻击的组织在声明中对事件轻描淡写，并声称没有财务数据被盗。但任何事件都不应该被视为小事，应该彻底调查，以确保任何被盗信息都不会被用来发动进一步的有针对性的攻击。”