Így hasalt el a LastPass védelme
A LastPass újabb részleteket árult el a tavaly bekövetkező biztonsági incidensével kapcsolatban. Érdekes fejleményekre derült fény.A LastPass rendszerét tavaly két olyan jelentős biztonsági incidens érte, amelyeket nem sikerült időben elhárítani. Már az első során is nagyon értékes információk (forráskódok, belső dokumentumok stb.) szivárogtak ki a vállalattól. A második támadás - mint most kiderült - részben az elsőre épült, vagyis azon információkra, amelyek még akkor kerültek illetéktelen kezekbe.
A vállalat legfrissebb beszámolója szerint az elkövetők tulajdonképpen 2022. augusztus 12. és 2022. október 26. között teljesen észrevétlenül tudtak ténykedni, vagyis ebben az időszakban a cég egyik támadásdetektálásra szolgáló rendszere sem jelzett. A hackerek nemkívánatos tevékenységét végül az Amazon AWS GuardDuty szolgáltatás egyik riasztása buktatta le, és ennek nyomán derült fény arra, hogy valami nagyon nincs rendben.
Persze azonnal felmerül a kérdés, hogy a LastPass-nál alkalmazott, egyébként igencsak kifinomult védelmi vonalakon miként sikerült áthatolniuk a támadóknak, és legalább ennyire érdekes kérdés, hogy miként tudtak észrevétlenül adatokat lopkodni több mint két hónapon keresztül. Erre a válasz elsősorban az, hogy megszemélyesítéses módszert alkalmaztak, és minden műveletet egy kiemelt jogosultságokkal rendelkező felhasználó nevében hajtottak végre.
A támadásuk egy célzott akcióval indult, amely az egyik senior DevOps mérnök otthoni számítógépe ellen irányult. Ez a mérnök azon négy szakember egyike volt, akik teljes hozzáféréssel rendelkeztek a cég Amazon S3 bucketjeinek jelentős részéhez. Az elkövetők a kiszemelt otthoni számítógépre - egyebek mellett egy szoftveres sebezhetőség kihasználásával - egy billentyűleütések naplózására szolgáló programot telepítettek, amivel kipuhatolták a mérnök jelszavát, majd a többfaktoros hitelesítést is sikerült kijátszaniuk. Ezzel pedig tulajdonképpen korlátlan hozzáférést szereztek megannyi értékes állományhoz és adathoz.
A LastPass vizsgálata szerint egyebek mellett az alábbiakat érték el a feketekalapos hackerek:
- AWS S3-mal tárolt és kezelt, éles környezetről készült biztonsági mentések
- Adatbázismentések
- MFA (Multifactor Authentication) seedek, API-khoz tartozó titkos kulcsok, MFA-hoz beállított telefonszámok.
A LastPass már leszűrte a tanulságokat a történtekből, és számos újabb védelmi intézkedést hozott. Ezek közé tartozik többek között a hitelesítő adatok, kulcsok és tokenek gyakori cseréje, a kibővített naplózás és riasztáskezelés, a tanúsítványok szigorú visszavonáskezelése, valamint a biztonsági házirendek további szigorítása is.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.