Το Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου (ICO) επέβαλε πρόστιμο 1,2 εκατομμυρίων λιρών στην εταιρεία διαχείρισης κωδικών πρόσβασης LastPass επειδή δεν εφάρμοσε μέτρα ασφαλείας που επέτρεπαν σε έναν εισβολέα να κλέψει προσωπικές πληροφορίες και κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης που ανήκαν σε έως και 1,6 εκατομμύρια χρήστες του Ηνωμένου Βασιλείου σε παραβίαση του 2022.
Σύμφωνα με το ICO, το περιστατικό προήλθε από δύο διασυνδεδεμένες παραβιάσεις που ξεκίνησαν τον Αύγουστο του 2022.
Η πρώτη παραβίαση σημειώθηκε τον Αύγουστο του 2022, όταν ένας χάκερ παραβίασε τον φορητό υπολογιστή ενός υπαλλήλου του LastPass και είχε πρόσβαση σε τμήματα του περιβάλλοντος ανάπτυξης της εταιρείας.
Αν και δεν ελήφθησαν προσωπικά δεδομένα κατά τη διάρκεια αυτού του συμβάντος, ο εισβολέας μπόρεσε να αποκτήσει τον πηγαίο κώδικα της εταιρείας, τις ιδιόκτητες τεχνικές πληροφορίες και τα κρυπτογραφημένα διαπιστευτήρια της εταιρείας. Το LastPass αρχικά πίστευε ότι η παραβίαση περιορίστηκε επειδή τα κλειδιά αποκρυπτογράφησης για αυτά τα διαπιστευτήρια ήταν αποθηκευμένα χωριστά στα θησαυροφυλάκια τεσσάρων ανώτερων υπαλλήλων.
Ωστόσο, την επόμενη μέρα, ο εισβολέας στόχευσε έναν από αυτούς τους ανώτερους υπαλλήλους εκμεταλλευόμενος μια γνωστή ευπάθεια σε μια εφαρμογή ροής τρίτου μέρους, που πιστεύεται ότι ήταν η Plex, η οποία ήταν εγκατεστημένη στην προσωπική συσκευή του υπαλλήλου.
Αυτή η πρόσβαση επέτρεψε στον χάκερ να αναπτύξει κακόβουλο λογισμικό, να συλλάβει τον κύριο κωδικό πρόσβασης του υπαλλήλου χρησιμοποιώντας ένα keylogger και να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων χρησιμοποιώντας ένα cookie που έχει ήδη επικυρωθεί από το MFA.
Επειδή ο υπάλληλος χρησιμοποίησε τον ίδιο κύριο κωδικό πρόσβασης τόσο για τα προσωπικά όσο και για τα επαγγελματικά θησαυροφυλάκια, ο εισβολέας μπόρεσε να αποκτήσει πρόσβαση στο θησαυροφυλάκιο της επιχείρησης και να κλέψει ένα κλειδί πρόσβασης των Υπηρεσιών Ιστού της Amazon και ένα κλειδί αποκρυπτογράφησης.
Αυτά τα κλειδιά, σε συνδυασμό με τις πληροφορίες που είχαν κλαπεί προηγουμένως, επέτρεψαν στους εισβολείς να παραβιάσουν την εταιρεία αποθήκευσης cloud GoTo και να κλέψουν αντίγραφα ασφαλείας της βάσης δεδομένων LastPass που ήταν αποθηκευμένα στην πλατφόρμα.
Δεδομένα πελατών κλάπηκαν κατά παράβαση
Οι προσωπικές πληροφορίες που αποθηκεύτηκαν στην κλεμμένη βάση δεδομένων περιελάμβαναν κρυπτογραφημένες θήκες κωδικών πρόσβασης, ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου και διευθύνσεις URL ιστότοπων που σχετίζονται με λογαριασμούς πελατών.
«Ο παράγοντας απειλής αντέγραψε πληροφορίες από αντίγραφα ασφαλείας που περιείχαν βασικές πληροφορίες λογαριασμού πελάτη και σχετικά μεταδεδομένα, όπως ονόματα εταιρειών, ονόματα τελικών χρηστών, διευθύνσεις χρέωσης, διευθύνσεις email, αριθμούς τηλεφώνου και διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass», εξήγησε τότε ο CEO της LastPass, Karim Toubba.
“Ο παράγοντας απειλής μπόρεσε επίσης να αντιγράψει ένα αντίγραφο ασφαλείας των δεδομένων του θησαυροφυλακίου πελατών από το κρυπτογραφημένο κοντέινερ αποθήκευσης που είναι αποθηκευμένο σε ιδιόκτητη δυαδική μορφή που περιέχει τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστότοπου, καθώς και πλήρως κρυπτογραφημένα ευαίσθητα πεδία, όπως ονόματα χρήστη και κωδικούς πρόσβασης ιστότοπου, ασφαλείς σημειώσεις και δεδομένα συμπληρωμένα με φόρμα.”
Το ICO ισχυρίστηκε ότι ο εισβολέας δεν αποκρυπτογραφούσε τα θησαυροφυλάκια κωδικών πρόσβασης πελατών, καθώς η «Αρχιτεκτονική Zero Knowledge» του LastPass δεν γνωρίζει ούτε αποθηκεύει τους κύριους κωδικούς πρόσβασης που χρησιμοποιούνται για την αποκρυπτογράφηση των θυρίδων και είναι γνωστοί μόνο στους πελάτες.
Ωστόσο, το LastPass προειδοποίησε προηγουμένως ότι η ασφάλεια των κρυπτογραφημένων θυρίδων εξαρτιόταν από την ισχύ του κύριου κωδικού πρόσβασης ενός πελάτη, συμβουλεύοντας την επαναφορά των ασθενέστερων κωδικών πρόσβασης.
“Ανάλογα με το μήκος και την πολυπλοκότητα του κύριου κωδικού πρόσβασης και της ρύθμισης μέτρησης επαναλήψεων, μπορεί να θέλετε να επαναφέρετε τον κύριο κωδικό πρόσβασής σας”, αναφέρει μια Ενημερωτικό δελτίο υποστήριξης LastPass για την κυβερνοεπίθεση.
Αυτό οφείλεται στο γεγονός ότι οι επιθέσεις ωμής βίας που λειτουργούν με GPU μπορούν να σπάσουν αδύναμους κύριους κωδικούς πρόσβασης που χρησιμοποιούνται για την κρυπτογράφηση των θυρίδων, επιτρέποντας στους παράγοντες απειλών να αποκτήσουν πρόσβαση σε αυτά.
Ορισμένοι ερευνητές ισχυρίζονται ότι αυτό έχει ήδη συμβεί, δηλώνοντας ότι η έρευνά τους δείχνει ότι τα θησαυροφυλάκια LastPass με αδύναμους κωδικούς πρόσβασης αποκρυπτογραφήθηκαν για να πραγματοποιήσουν επιθέσεις κλοπής κρυπτονομισμάτων.
Ο Επίτροπος Πληροφοριών Τζον Έντουαρντς είπε ότι ενώ οι διαχειριστές κωδικών πρόσβασης παραμένουν ένα κρίσιμο εργαλείο για την ασφάλεια, οι εταιρείες που προσφέρουν τέτοιες υπηρεσίες πρέπει να διασφαλίζουν ότι οι έλεγχοι πρόσβασης και τα εσωτερικά συστήματα σκληραίνουν έναντι στοχευμένων επιθέσεων.
Τόνισε ότι οι πελάτες του LastPass είχαν εύλογες προσδοκίες ότι τα προσωπικά τους στοιχεία θα προστατεύονταν και ότι η εταιρεία δεν εκπλήρωσε αυτή την υποχρέωση, με αποτέλεσμα την ποινή που ανακοινώθηκε σήμερα.
Το ICO ενθαρρύνει τους οργανισμούς να αναθεωρήσουν τους ασφάλεια της συσκευής, κινδύνους απομακρυσμένης εργασίαςκαι περιορισμούς πρόσβασης.
Οι πελάτες θα πρέπει επίσης να βεβαιωθούν ότι χρησιμοποιούν ισχυρούς, σύνθετους κωδικούς πρόσβασης, τους οποίους η LastPass συνιστά να είναι τουλάχιστον 12 χαρακτήρες και να περιλαμβάνουν κεφαλαία και πεζά γράμματα, αριθμούς, σύμβολα και ειδικούς χαρακτήρες.
Ωστόσο, σε επιθέσεις όπως αυτές, όπου μπορεί να προκύψει αυξημένη υπολογιστική ισχύς και σπάσιμο εκτός σύνδεσης, είναι ασφαλέστερο να χρησιμοποιείτε έναν κύριο κωδικό πρόσβασης τουλάχιστον 16 χαρακτήρων [1, 2] ή μια μεγάλη φράση πρόσβασης πολλών λέξεων για την ασφάλεια των εξαιρετικά ευαίσθητων πληροφοριών, όπως τα θησαυροφυλάκια κωδικών πρόσβασης.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
