Утечка данных LastPass: как это произошло и как этого избежать?

Утечка данных LastPass в 2022-2023 годах служит напоминанием о том, как сложные кибератаки могут перерастать в долгосрочные катастрофы безопасности. Этот подробный анализ разбирает инцидент, его последствия и важные уроки для организаций, стремящихся укрепить свою систему безопасности.

Последствия: в цифрах#

Последствия утечки оказались серьезными и долгосрочными:

• Пострадало 33 миллиона пользователей
• 4,4 млн долларов США украдено у более чем 25 жертв
• По сообщениям, 5 млн долларов США было украдено за одну неделю
• 15 млн долларов США украдено в криптовалюте

Основные выводы#

• Один скомпрометированный аккаунт разработчика привел к утечке, затронувшей 33 миллиона пользователей LastPass
• Злоумышленники получили доступ к зашифрованным хранилищам паролей и информации о клиентах
• Более 15 млн долларов США было похищено в ходе краж криптовалюты, связанных с этой утечкой
• Инцидент выявил критические уязвимости в безопасности удаленной работы и реагировании на инциденты

Первоначальная компрометация — август 2022 года#

Утечка началась, когда злоумышленники получили несанкционированный доступ к среде разработки LastPass через один скомпрометированный аккаунт разработчика. На этом этапе злоумышленники получили:

• Фрагменты исходного кода LastPass
• Проприетарную техническую информацию
• Доступ к ресурсам среды разработки

Эскалация — ноябрь/декабрь 2022 года#

То, что изначально казалось локализованным, быстро обострилось, когда злоумышленники использовали украденную информацию, чтобы:

• Получить доступ к стороннему сервису облачного хранения данных LastPass
• Получить резервные копии данных из хранилищ клиентов
• Скомпрометировать незашифрованную информацию об аккаунтах клиентов

Критическое развитие событий — март 2023 года#

В откровенном обновлении LastPass сообщила, что злоумышленники:

• Скомпрометировали домашний компьютер старшего инженера DevOps
• Использовали уязвимость в стороннем медиа-ПО
• Внедрили вредоносное ПО (кейлоггер) для захвата мастер-паролей
• Получили доступ к критически важным ключам дешифрования

Какие данные были скомпрометированы?#

Информация о клиентах#

• Названия компаний
• Имена конечных пользователей
• Адреса для выставления счетов
• Адреса электронной почты
• Номера телефонов
• IP-адреса

Технические данные#

• Резервные копии хранилищ клиентов
• Секреты DevOps
• Облачное хранилище резервных копий
• Резервные копии баз данных MFA/федерации

Важные уроки безопасности для организаций#

1. Внедрите надежную сегментацию сети#

• Разделяйте критические системы и данные
• Создавайте зоны безопасности с различными уровнями доступа
• Внедрите строгий контроль доступа между сегментами
• Мониторьте трафик между сетевыми сегментами

2. Укрепите безопасность удаленной работы#

• Установите четкие политики для устройств, используемых для работы из дома
• Ограничьте установку личного ПО на рабочих устройствах
• Внедрите надежную защиту конечных точек
• Регулярно проводите аудит безопасности удаленных рабочих мест

3. Улучшите реагирование на инциденты и коммуникацию#

• Разработайте четкие процедуры реагирования на инциденты
• Поддерживайте прозрачную коммуникацию с заинтересованными сторонами
• Документируйте и оперативно обновляйте информацию об инцидентах безопасности
• Предоставляйте регулярные обновления в ходе продолжающихся инцидентов

4. Расширенное управление паролями и доступом#

• Внедрите многофакторную аутентификацию (MFA) во всех системах
• Требуйте строгие и уникальные пароли для каждого аккаунта
• Регулярно меняйте пароли и проводите аудиты безопасности
• Используйте менеджеры паролей с надежными функциями безопасности

Профилактические меры для организаций#

1. Технические средства контроля#

• Внедрите архитектуру нулевого доверия (Zero Trust)
• Разверните передовую защиту конечных точек
• Регулярно проводите оценку безопасности и тестирование на проникновение
• Обеспечьте непрерывный мониторинг и логирование

2. Административные меры контроля#

• Регулярное обучение сотрудников основам безопасности
• Четкие политики и процедуры безопасности
• Управление рисками поставщиков
• Планирование реагирования на инциденты

Заключение#

Утечка данных LastPass служит важнейшим уроком важности комплексных мер безопасности и надлежащего реагирования на инциденты. Организации должны применять проактивный подход к безопасности, внедряя несколько уровней защиты при подготовке к потенциальным утечкам. Извлекая уроки из этого инцидента, компании могут лучше защитить свои активы и сохранить доверие своих клиентов.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Как злоумышленникам удалось перейти от аккаунта разработчика к доступу к хранилищам клиентов при взломе LastPass?#

Злоумышленники использовали исходный код и техническую информацию, украденную из среды разработки LastPass в августе 2022 года, для получения доступа к стороннему облачному хранилищу с резервными копиями хранилищ клиентов. Эта многоэтапная эскалация развивалась в течение нескольких месяцев, прежде чем ее полный масштаб был раскрыт в начале 2023 года.

Почему зашифрованные хранилища LastPass все еще считались находящимися под угрозой после утечки?#

Злоумышленники получили как резервные копии зашифрованных хранилищ, так и, что критически важно, ключи дешифрования, развернув кейлоггер на домашнем компьютере старшего инженера DevOps. Захват мастер-паролей вместе с ключами дешифрования означал, что одно только шифрование не могло полностью защитить данные клиентов.

Какие проблемы безопасности удаленной работы усугубили утечку в LastPass?#

Личный домашний компьютер старшего инженера DevOps был скомпрометирован через уязвимость в стороннем медиа-программном обеспечении — риск, который призваны предотвращать строгие политики защиты конечных точек для устройств удаленной работы. Ограничение установки личного ПО и проведение аудитов безопасности домашних рабочих мест являются ключевыми мерами по снижению рисков.

Какие конкретные типы данных были скомпрометированы во время утечки LastPass 2022-2023 годов?#

Скомпрометированные данные охватывали две категории: информацию о клиентах, включая имена, адреса для выставления счетов, адреса электронной почты, номера телефонов и IP-адреса, а также технические данные, включающие резервные копии хранилищ клиентов, секреты DevOps, облачное хранилище резервных копий и резервные копии баз данных MFA/федерации. Эта комбинация личных и инфраструктурных данных сделала утечку особенно опасной.