В августе 2022 года разработчик LastPass сообщил пользователям об обнаружении необычной активности в собственной среде разработки. Почти сразу было установлено, что «неуполномоченные лица» получили доступ к определенным разделам среды разработки через скомпрометированную учетную запись разработчика.
Злоумышленникам удалось заполучить «фрагменты исходного кода и некоторую проприетарную техническую информацию LastPass», но основная рабочая среда и пользовательские данные оказались не затронуты.
К расследованию инцидента была привлечена компания Mandiant, специализирующуюся на кибербезопасности и криминалистике. В сентябре LastPass поделилась дополнительными сведениями, установленными в процессе расследования.
Согласно LastPass, злоумышленник получил доступ к среде разработки на 4 дня в августе. Когда служба безопасности LastPass обнаружила инцидент, он был немедленно локализован.
Не было обнаружено никаких доказательств того, что злоумышленник имел доступ по истечении 4-дневного периода. Злоумышленник не получил доступ к данным клиентов и зашифрованным хранилищам.
Злоумышленник получил доступ с среде разработки через скомпрометированную учетную запись разработчика. Учетная запись защищена многофакторной аутентификацией. Учетные записи разработчиков ограничены средой разработки, что не позволяет злоумышленникам получить доступ к данным клиентов, зашифрованным хранилищам или производственным средам. Согласно LastPass, среды разработки не имеют доступа к данным клиентов.
Эксперты-криминалисты проанализировали исходный код и производственные сборки, чтобы определить, имели ли место какие-либо модификации исходного кода в течение четырех дней. Согласно LastPass, не было обнаружено «никаких доказательств попыток отравления кода или внедрения вредоносного кода».
Из соображений безопасности у разработчиков нет прямой возможности передать исходный код из среды разработки в основную рабочую среду. За это отвечает отдельная команда по выпуску сборки, которая просматривает, тестирует и проверяет исходники и изменения.
Сообщается, что после данного инцидента со взломом, компания LastPass усилила меры безопасности:
В рамках нашей программы управления рисками мы также сотрудничаем с ведущей компанией в области кибербезопасности для дальнейшего совершенствования существующих методов защиты исходного кода, которые включают безопасные процессы жизненного цикла разработки программного обеспечения, моделирование угроз, управление уязвимостями и программы вознаграждения за обнаружение ошибок.
Кроме того, мы развернули расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга безопасности конечных точек. Мы также развернули дополнительные возможности анализа угроз, а также усовершенствованные технологии обнаружения и предотвращения как в наших средах разработки, так и в рабочей среде.
Несмотря на то, что злоумышленник получил доступ к среде разработки LastPass, он не изменил исходный код и не получил доступ к данным клиента. Тем не менее, исходный код и техническую информацию он получил.
А вы используете менеджер паролей?
Угрозы безопасности
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии