满满干货（原创 LastPass,称员工的家用电脑遭到黑客攻击，公司保险库被盗）

原标题：LastPass,称员工的家用电脑遭到黑客攻击，公司保险库被盗

LastPass 已经从将部分加密的登录数据置于威胁行为者手中的漏洞中得到了启发，周一表示，同一攻击者入侵了一名员工的家用计算机，并获得了一个只有少数公司开发人员可以使用的解密保险库。

尽管对 LastPass 的最初入侵于 8 月 12 日结束，但领先密码管理器的官员表示，从 8 月 12 日到 8 月 26 日，威胁行为者“积极参与了一系列新的侦察、枚举和渗透活动”。在此过程中，未知威胁参与者能够从高级 DevOps 工程师那里窃取有效凭证并访问 LastPass 数据保险库的内容。除其他事项外，保险库允许访问共享的云存储环境，该环境包含存储在Amazon S3 存储桶中的客户保险库备份的加密密钥。

又一重磅炸弹落下

LastPass 官员写道：“这是通过将 DevOps 工程师的家用计算机作为目标并利用易受攻击的第三方媒体软件包来实现的，该软件包启用了远程代码执行功能并允许威胁行为者植入键盘记录程序恶意软件。” “在员工通过 MFA 进行身份验证后，威胁参与者能够在输入时捕获员工的主密码，并获得对 DevOps 工程师的 LastPass 公司保险库的访问权限。”

被黑的 DevOps 工程师是仅有的四名有权访问公司金库的 LastPass 员工之一。一旦拥有解密的保险库，威胁行为者就会导出条目，包括“访问 AWS S3 LastPass 生产备份、其他基于云的存储资源以及一些相关的关键数据库备份所需的解密密钥”。

周一的更新是在 LastPass 发布之前的重磅更新两个月后发布的，该更新首次表示，与之前的断言相反，攻击者获得了包含加密和明文数据的客户保险库数据。LastPass 当时表示，威胁行为者还获得了云存储访问密钥和双存储容器解密密钥，允许从加密存储容器中复制客户保险库备份数据。

备份数据包含未加密的数据，例如网站 URL，以及网站用户名和密码、安全笔记和填写表格的数据，这些数据使用 256 位 AES 进行了额外的加密层。新的细节解释了威胁行为者如何获得 S3 加密密钥。

周一的更新说，第一起事件中使用的策略、技术和程序与第二起事件中使用的不同，因此，调查人员最初并不清楚这两起事件是否直接相关。在第二次事件中，威胁行为者使用在第一次事件中获得的信息来枚举和泄露存储在 S3 存储桶中的数据。

LastPass 官员写道：“在这些事件中启用了警报和日志记录，但并未立即表明在调查过程中回顾起来变得更加清晰的异常行为。” “具体来说，威胁行为者能够利用从高级 DevOps 工程师那里窃取的有效凭据来访问共享的云存储环境，这使得调查人员最初很难区分威胁行为者的活动和正在进行的合法活动。”

当威胁行为者试图使用云身份和访问管理 (IAM) 角色执行未经授权的活动时，LastPass 从亚马逊的异常行为警告中了解到第二起事件。

据一位了解 LastPass 私人报告且不愿透露姓名的人士称，在该员工的家用电脑上被利用的媒体软件包是 Plex。有趣的是，Plex在第二次事件发生仅 12 天后的 8 月 24 日报告了自己的网络入侵。该漏洞允许威胁行为者访问专有数据库，并窃取属于其 3000 万客户中的一些客户的密码数据、用户名和电子邮件。Plex 是媒体流服务的主要提供商，允许用户流式传输电影和音频、玩游戏以及访问他们自己托管在家庭或本地媒体服务器上的内容。

目前尚不清楚 Plex 漏洞是否与 LastPass 入侵有任何联系。LastPass 和 Plex 的代表没有回复就此事寻求评论的电子邮件。

LastPass 漏洞背后的威胁行为者已被证明特别足智多谋，而且它成功利用员工家用计算机上的软件漏洞的消息进一步强化了这一观点。正如 Ars 在 12 月建议的那样，所有 LastPass 用户都应该更改他们的主密码和存储在他们保险库中的所有密码。虽然尚不清楚威胁行为者是否可以访问其中任何一个，但有必要采取预防措施。

更新 3 月 1 日星期三上午 9:06：

这篇帖子上线一天后，一位 Plex 代表在一封电子邮件中写道：“LastPass 尚未联系我们，因此我们无法透露他们事件的具体细节。我们非常重视安全问题，并经常与使用我们的指南和漏洞赏金计划报告或大或小问题的外部各方合作。当在负责任的披露后报告漏洞时，我们会迅速而彻底地解决它们，而且我们从未发布过一个严重的漏洞而没有发布补丁版本。当我们遇到自己的事件时，我们总是选择快速沟通。我们不知道有任何未修补的漏洞，并且一如既往，我们邀请人们按照上面链接的准则向我们披露问题。鉴于最近有关 LastPass 事件的文章，返回搜狐，查看更多

责任编辑：

本文链接：https://www.yangzhibaike.com/post/30181.html

声明：本站文章来自网络，版权归原作者所有！