去年的毁灭性的破坏LastPass的漏洞已经被追踪到一段键盘记录恶意软件它被秘密安装在一名员工的家用电脑上。
周一,LastPass提供(在新窗口打开)更多关于泄露的细节,已经破碎的信任其中最受欢迎的密码管理在市场上。该公司丢失了所有客户的加密密码库数据,黑客在LastPass的系统上秘密窥探了数周。
一个悬而未决的问题是,尽管LastPass有各种安全措施,但罪犯是如何侵入的。该公司将加密的密码库数据保存在一个基于云的备份系统中,这两种备份都需要Amazon AWS访问密钥和lastpass生成的解密密钥,以便进入。
在周一的更新(在新窗口打开), LastPass补充说,只有4家DevOps该公司的工程师通过一套“高度受限的共享文件夹”获得了必要的解密密钥。然而,黑客绕过了该公司的安全保障措施,将恶意软件提供给了其中一名DevOps工程师。
LastPass表示:“这是通过针对DevOps工程师的家用电脑,并利用一个易受攻击的第三方媒体软件包来实现的,该软件包具有远程代码执行能力,并允许威胁行为者植入键盘记录器恶意软件。”
然后,恶意软件记录了工程师电脑上的击键,使黑客能够获取该员工密码库的主密码LastPass.同样的恶意软件似乎帮助黑客绕过了多因素身份验证该账户包含访问LastPass云备份系统所需的解密密钥。
LastPass没有透露“易受攻击的第三方媒体软件包”的名称。但根据(在新窗口打开)对Ars Technica来说,易受攻击的软件是丛这款软件可以帮助消费者搭建媒体服务器,在家里播放视频。(今年8月,Plex也遭遇了数据泄露,涉及一个包含用户密码信息的数据库。)
黑客还在LastPass的DevOps工程师进行了一次黑客攻击早些时候,违反该公司在8月份涉及其源代码存储库。在最初的入侵中,黑客劫持了LastPass软件工程师的笔记本电脑,尽管尚不清楚这是如何做到的。不过,法医证据显示是罪犯关闭了杀毒LastPass在周一的更新中表示,在软件工程师的电脑上保持隐藏。
LastPass的最新报告显示,这名黑客拥有一些严重的计算机渗透技能。此外,该报告还展示了如何利用员工的家用电脑侵入一家大公司。
LastPass首席执行官卡里姆·图巴还指出,许多客户对公司“在整个活动中无法更及时、更清晰、更全面地沟通”感到失望。该公司最初是在12月22日宣布被入侵的,当时距离黑客离开LastPass的内部系统已经过去了近两个月。
“我接受批评,承担全部责任。我们已经学到了很多,并致力于今后更有效地沟通。今天的更新证明了这一承诺,”他在一篇文章中写道帖子(在新窗口打开)给客户。该公司还做出了许多改变,包括安装新的安全技术。尽管有这样的承诺,但社交媒体上的许多用户已经改用其他密码管理器。
欲了解更多,请查看数据泄露到底会发生什么(以及你能做些什么)而且如何切换到新的密码管理器.
更新:Plex在一份声明中告诉PCMag,他们还没有收到LastPass关于黑客事件的任何信息。据报道,此次黑客事件涉及Plex流媒体软件的漏洞。
Plex说:“我们不知道有任何未修补的漏洞,和往常一样,我们邀请人们向我们披露问题。”“鉴于最近有关LastPass事件的文章,尽管我们不知道有任何未修补的漏洞,但我们已经联系了LastPass以确定是否存在漏洞。”