Vụ rò rỉ dữ liệu LastPass đã xảy ra như thế nào & cách phòng tránh?

Vụ rò rỉ dữ liệu LastPass năm 2022-2023 là lời cảnh báo về việc các cuộc tấn công mạng tinh vi có thể dẫn đến thảm họa bảo mật lâu dài như thế nào. Bài phân tích toàn diện này trình bày chi tiết về sự cố, tác động của nó và các bài học quan trọng dành cho các tổ chức đang tìm cách tăng cường vị thế bảo mật của mình.

Tác động: Qua những con số#

Hậu quả của vụ rò rỉ dữ liệu này rất nghiêm trọng và kéo dài:

• 33 triệu người dùng bị ảnh hưởng
• 4,4 triệu đô la Mỹ bị đánh cắp từ hơn 25 nạn nhân
• 5 triệu đô la Mỹ được báo cáo bị đánh cắp trong một tuần
• 15 triệu đô la Mỹ tiền điện tử bị đánh cắp

Những điểm chính#

• Việc một tài khoản nhà phát triển bị xâm nhập đã dẫn đến vụ rò rỉ ảnh hưởng đến 33 triệu người dùng LastPass
• Kẻ tấn công đã giành được quyền truy cập vào các kho mật khẩu được mã hóa và thông tin khách hàng
• Hơn 15 triệu đô la Mỹ tiền điện tử đã bị đánh cắp liên quan đến vụ rò rỉ này
• Sự cố đã làm nổi bật các lỗ hổng nghiêm trọng trong việc bảo mật làm việc từ xa và phản ứng sự cố

Xâm nhập ban đầu - Tháng 8 năm 2022#

Vụ rò rỉ bắt đầu khi những kẻ tấn công giành được quyền truy cập trái phép vào môi trường phát triển của LastPass thông qua một tài khoản nhà phát triển bị xâm nhập. Ở giai đoạn này, những kẻ tấn công đã lấy được:

• Một phần mã nguồn của LastPass
• Thông tin kỹ thuật độc quyền
• Quyền truy cập vào các tài nguyên của môi trường phát triển

Leo thang - Tháng 11/Tháng 12 năm 2022#

Những gì ban đầu có vẻ như đã được kiểm soát lại nhanh chóng leo thang khi những kẻ tấn công tận dụng thông tin bị đánh cắp để:

• Truy cập dịch vụ lưu trữ đám mây của bên thứ ba của LastPass
• Lấy các bản sao lưu dữ liệu kho lưu trữ của khách hàng
• Xâm phạm thông tin tài khoản khách hàng không được mã hóa

Diễn biến quan trọng - Tháng 3 năm 2023#

Trong một bản cập nhật tiết lộ, LastPass cho biết những kẻ tấn công đã:

• Xâm phạm máy tính cá nhân tại nhà của một kỹ sư DevOps cấp cao
• Khai thác lỗ hổng trong phần mềm phương tiện của bên thứ ba
• Triển khai phần mềm độc hại keylogger để ghi lại mật khẩu chính
• Giành được quyền truy cập vào các khóa giải mã quan trọng

Dữ liệu nào đã bị xâm phạm?#

Thông tin khách hàng#

• Tên công ty
• Tên người dùng cuối
• Địa chỉ thanh toán
• Địa chỉ email
• Số điện thoại
• Địa chỉ IP

Dữ liệu kỹ thuật#

• Bản sao lưu kho lưu trữ của khách hàng
• Bí mật DevOps
• Lưu trữ bản sao lưu trên đám mây
• Bản sao lưu Cơ sở dữ liệu Liên kết/MFA

Bài học bảo mật thiết yếu cho các tổ chức#

1. Triển khai phân đoạn mạng mạnh mẽ#

• Tách biệt các hệ thống và dữ liệu quan trọng
• Tạo các vùng bảo mật với các cấp độ truy cập khác nhau
• Triển khai kiểm soát truy cập nghiêm ngặt giữa các phân đoạn
• Giám sát lưu lượng truy cập giữa các phân đoạn mạng

2. Tăng cường bảo mật làm việc từ xa#

• Thiết lập các chính sách rõ ràng cho các thiết bị làm việc tại nhà
• Hạn chế cài đặt phần mềm cá nhân trên các thiết bị làm việc
• Triển khai bảo vệ điểm cuối mạnh mẽ
• Kiểm tra bảo mật thường xuyên đối với thiết lập làm việc từ xa

3. Cải thiện phản ứng sự cố và giao tiếp#

• Phát triển các quy trình phản ứng sự cố rõ ràng
• Duy trì giao tiếp minh bạch với các bên liên quan
• Ghi chép và cập nhật các sự cố bảo mật một cách nhanh chóng
• Cung cấp các bản cập nhật thường xuyên trong suốt quá trình xử lý sự cố

4. Tăng cường quản lý truy cập và mật khẩu#

• Triển khai xác thực đa yếu tố (MFA) trên tất cả các hệ thống
• Yêu cầu mật khẩu mạnh, duy nhất cho mỗi tài khoản
• Thay đổi mật khẩu định kỳ và kiểm tra bảo mật thường xuyên
• Sử dụng trình quản lý mật khẩu có các tính năng bảo mật mạnh mẽ

Các biện pháp phòng ngừa cho tổ chức#

1. Kiểm soát kỹ thuật#

• Triển khai kiến trúc zero-trust
• Triển khai bảo vệ điểm cuối nâng cao
• Đánh giá bảo mật và kiểm tra thâm nhập thường xuyên
• Giám sát và ghi nhật ký liên tục

2. Kiểm soát quản trị#

• Đào tạo bảo mật thường xuyên cho nhân viên
• Có các chính sách và quy trình bảo mật rõ ràng
• Quản lý rủi ro từ nhà cung cấp
• Lập kế hoạch phản ứng sự cố

Kết luận#

Vụ rò rỉ dữ liệu LastPass là một bài học quan trọng về tầm quan trọng của các biện pháp bảo mật toàn diện và phản ứng sự cố phù hợp. Các tổ chức phải thực hiện cách tiếp cận chủ động đối với bảo mật, triển khai nhiều lớp bảo vệ trong khi chuẩn bị cho các vi phạm tiềm ẩn. Bằng cách học hỏi từ sự cố này, các công ty có thể bảo vệ tài sản của mình tốt hơn và duy trì niềm tin với khách hàng.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Những câu hỏi thường gặp#

Những kẻ tấn công đã leo thang từ tài khoản nhà phát triển sang việc truy cập vào kho lưu trữ của khách hàng trong vụ rò rỉ LastPass như thế nào?#

Kẻ tấn công đã sử dụng mã nguồn và thông tin kỹ thuật đánh cắp từ môi trường phát triển của LastPass vào tháng 8 năm 2022 để truy cập một dịch vụ lưu trữ đám mây của bên thứ ba đang chứa các bản sao lưu kho lưu trữ của khách hàng. Sự leo thang qua nhiều giai đoạn này đã diễn ra trong vài tháng trước khi toàn bộ quy mô được tiết lộ vào đầu năm 2023.

Tại sao các kho lưu trữ được mã hóa của LastPass vẫn bị coi là có rủi ro sau vụ rò rỉ?#

Kẻ tấn công đã lấy được cả bản sao lưu kho lưu trữ được mã hóa và quan trọng là các khóa giải mã bằng cách triển khai một keylogger trên máy tính tại nhà của một kỹ sư DevOps cấp cao. Việc ghi lại được mật khẩu chính cùng với các khóa giải mã có nghĩa là mã hóa đơn thuần không thể bảo vệ hoàn toàn dữ liệu của khách hàng.

Những thất bại nào trong bảo mật làm việc từ xa đã làm cho vụ rò rỉ LastPass trở nên tồi tệ hơn?#

Máy tính cá nhân tại nhà của một kỹ sư DevOps cấp cao đã bị xâm phạm thông qua một lỗ hổng trong phần mềm phương tiện của bên thứ ba, một rủi ro mà các chính sách bảo vệ điểm cuối mạnh mẽ cho các thiết bị làm việc từ xa được thiết kế để ngăn chặn. Hạn chế cài đặt phần mềm cá nhân và thực thi kiểm tra bảo mật đối với các thiết lập tại nhà là những biện pháp giảm thiểu rủi ro chính.

Những loại dữ liệu cụ thể nào đã bị lộ trong vụ rò rỉ LastPass năm 2022-2023?#

Dữ liệu bị lộ bao gồm hai danh mục: thông tin khách hàng bao gồm tên, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP, cùng với dữ liệu kỹ thuật bao gồm bản sao lưu kho lưu trữ của khách hàng, bí mật DevOps, bộ lưu trữ bản sao lưu trên đám mây và bản sao lưu Cơ sở dữ liệu Liên kết/MFA. Sự kết hợp giữa dữ liệu cá nhân và cơ sở hạ tầng này làm cho vụ rò rỉ trở nên đặc biệt gây thiệt hại.