Команда менеджера паролей LastPass раскрыла детали августовского взлома и рассказала, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили к устранению последствий взлома.
Гендиректор LastPass Карим Тубба (Karim Toubba) заявил, что эксперты по кибербезопасности из компании Mandiant в ходе расследования инцидента не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей. По их данным, хакеры действовали внутри сети в течение четырёх суток. После их обнаружения и блокировки в компании не нашли больше свидетельств активности каких-либо злоумышленников сверх этих установленных сроков.
В ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам.
«Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснил Тубба.
Эксперты пояснили, что среда разработки LastPass физически отделена от рабочей производственной среды и облачных сервисов. Между этими системами нет прямого подключения. Также среда разработки не содержит реальных данных клиентов или зашифрованных хранилищ. Вдобавок LastPass не имеет доступа к мастер-паролям хранилищ своих клиентов. А без мастер-пароля никто, кроме владельца хранилища, не может расшифровать данные хранилища в рамках существующей в компании модели безопасности с нулевым разглашением.
Дополнительно в LastPass провели анализ действий злоумышленников на влияние в доступные в ходе атаки проекты с исходным кодом и производственные сборки сервисов. В компании не выявили доказательств попыток отравления кода или внедрения вредоносного кода в проекты. Разработчики компании не имеют возможности передавать исходный код из среды разработки в рабочую среду. Эта возможность ограничена отдельной командой Build Release и может быть реализована только после завершения тщательного анализа кода, тестирования и процессов проверки. У хакеров не было доступа к этой части системы LastPass.
В рамках избежания подобных инцидентов в компании усилили средства контроля и мониторинга защиту конечных рабочих станций разработчиков, а также развернули дополнительные системы анализа угроз, включая усовершенствованные технологии обнаружения и предотвращения атак в средах разработки и в рабочей среде.
В августе команда LastPass сообщила о серьёзном инциденте безопасности. Хакеры с помощью скомпрометированной учётной записи одного из разработчиков смогли проникнуть внутрь закрытого периметра компании, скопировать исходные коды проектов и проприетарную техническую информацию. LastPass после атаки заявила, что нет никаких доказательств компрометации данных клиентов или зашифрованных хранилищ паролей.