Data LastPass-klanten lekte uit door onveilige thuiscomputer
Via de thuiscomputer van een DevOps-engineer kregen hackers toegang tot de decryptiesleutels van kluizen met klantdata. Dat legt LastPass uit in een blogpost. Door de aanval op de medewerker kregen hackers onder meer toegang tot de namen, e-mailadressen, factuuradressen, telefoonnummers en IP-adressen van klanten. Bovendien kregen hackers toegang tot (versleutelde) wachtwoordkluizen, notities en gebruikersnamen van LastPass-klanten.
Aanval werd in 2 stappen uitgevoerd
Voordat hackers toegang kregen tot die data werd in augustus al toegang verkregen tot LastPass’ ontwikkelomgeving. Toentertijd meldde de wachtwoordmanager dat bij die aanval enkel broncode en technische informatie van de dienst werd gestolen. Het nieuwste bericht stelt die conclusie bij: op de ontwikkelomgeving vonden de hackers ook de inloggegevens en keys om toegang te krijgen tot de S3-cloudomgeving van het bedrijf. Via de cloudomgeving sloeg LastPass vergrendelde back-ups van klantgegevens op.
Tijdens een tweede beveiligingsincident, dat tussen 12 augustus en 26 oktober plaatsvond, legden hackers hun handen op die versleutelde back-ups. Hoewel de hackers met de inloggegevens van de eerste aanval toegang hadden tot de cloudomgeving, bevatten de AWS S3-cloudopslagsystemen een extra beveiligingslaag. Een beveiligingslaag die de hackers dus niet overwonnen hadden met de eerste aanval in augustus.
Gecompromitteerde thuiscomputer
Om alsnog toegang te krijgen tot de cloudopslag werd een medewerker van het DevOps-team aangevallen. Voor die aanval werd een kwetsbaarheid in een mediaspeler op de thuiscomputer van de betreffende LastPass-medewerker misbruikt. Bij de aanval installeerde de aanvaller zogenoemde keylogger-malware om ingevoerde wachtwoorden te registeren. Zodoende werden zowel het Masterwachtwoord als de 2FA-code van de medewerker onderschept. Kort nadat de gegevens werden onderschept, kreeg de aanvaller alsnog toegang tot de versleutelde kluis.
Markant is dat op die beveiligde S3-cloudopslag ook meteen de decryptiesleutels aanwezig waren om de beveiligde kluizen te ontgrendelen. Het bedrijf stelt dat die sleutels wel waren opgeslagen in beveiligde notities. Hoe sterk het die notities beveiligd had, raakt niet bekend.
Kritiek op beveiligingsbeleid LastPass
Sinds het bekendmaken van de aanvallen ligt LastPass onder vuur van beveiligingsexperten. Volgens de experten probeert het bedrijf het incident onder de mat te vegen en zijn de opmerkingen van het bedrijf rond de gelekte wachtwoordkluizen ‘nonchalant’ te noemen. Het bedrijf stelde eind december namelijk dat zijn wachtwoordkluizen ‘ontkraakbaar’ zijn, en dat klanten zich hierdoor geen zorgen hoeven te maken.