Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

LastPass onthult tweede inbreuk in drie maanden

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 249

Een aanvaller die afgelopen augustus de softwareontwikkelomgeving van LastPass binnendrong en de broncode en andere eigendomsgegevens van het bedrijf stal, lijkt het wachtwoordbeheerbedrijf opnieuw te hebben getroffen.

Woensdag maakte LastPass bekend dat het onderzoek doet naar een recent incident waarbij iemand die informatie gebruikte die tijdens de inbraak in augustus was verkregen, erin slaagde toegang te krijgen tot de broncode en niet-gespecificeerde klantgegevens die waren opgeslagen in een niet nader genoemde externe cloudopslagdienst. LastPass heeft niet bekendgemaakt tot wat voor soort klantgegevens de aanvaller toegang zou hebben gehad, maar hield vol dat zijn producten en diensten volledig functioneel bleven.

Ongebruikelijke activiteit

"We hebben onlangs ongebruikelijke activiteit gedetecteerd binnen een externe cloudopslagservice, die momenteel wordt gedeeld door zowel LastPass als zijn gelieerde onderneming, GoTo," zei LastPass. "We zijn onmiddellijk een onderzoek gestart, hebben Mandiant, een toonaangevend beveiligingsbedrijf, ingeschakeld en de politie gewaarschuwd."

De verklaring van LastPass viel samen met een verklaring van GoTo, ook op woensdag, die verwees naar wat leek op de dezelfde ongebruikelijke activiteit binnen de cloudopslagdienst van derden. Bovendien beschreef de verklaring van GoTo dat de activiteit van invloed was op de ontwikkelomgeving, maar bood geen andere details. Net als LastPass zei GoTo dat zijn videoconferentie- en samenwerkingsdiensten volledig functioneel bleven terwijl het het incident onderzoekt.

Het is onduidelijk of de schijnbare inbreuk op de ontwikkelomgeving van GoTo op enigerlei wijze verband houdt met de inbraak in augustus bij LastPass of dat de twee incidenten volledig los van elkaar staan. Beide bedrijven weigerden een Dark Reading-vraag te beantwoorden over de vraag of de twee incidenten verband zouden kunnen houden.

De nieuwe inbreuk bij LastPass suggereert dat aanvallers heeft mogelijk in augustus toegang gekregen tot meer gegevens van het bedrijf dan eerder gedacht. LastPass heeft eerder opgemerkt dat de indringer bij de inbreuk in augustus toegang heeft gekregen tot zijn ontwikkelomgeving door de inloggegevens van een softwareontwikkelaar te stelen en zich voor te doen als die persoon. Het bedrijf heeft sindsdien volgehouden dat de aanvaller geen toegang heeft gekregen tot klantgegevens of gecodeerde wachtwoordkluizen vanwege het ontwerp van zijn systeem en de controles die het heeft ingesteld.

Waren de beveiligingscontroles van LastPass sterk genoeg?

Die controles omvatten een volledige fysieke en netwerkscheiding van de ontwikkelomgeving van de productieomgeving en ervoor zorgen dat de ontwikkelomgeving geen klantgegevens of versleutelde kluizen bevat. LastPass heeft ook opgemerkt dat het geen toegang heeft tot de hoofdwachtwoorden van klantkluizen, waardoor alleen de klant er toegang toe heeft.

Michael White, technisch directeur en hoofdarchitect bij Synopsys Software Integrity Group, zegt dat de praktijk van LastPass om ontwikkeling en testen te scheiden en ervoor te zorgen dat er geen klantgegevens worden gebruikt bij ontwikkeling/test, zeker goede praktijken zijn en in overeenstemming met de aanbevelingen.

Het feit dat een bedreigingsactor erin slaagde toegang te krijgen tot zijn ontwikkelomgeving, betekent echter dat hij potentieel veel schade kon aanrichten.

"Het korte antwoord is dat we het simpelweg niet kunnen weten op basis van wat er in het openbaar is gezegd", zegt White. "Als de getroffen ontwikkelsystemen echter toegang hebben tot gemeenschappelijke interne tools die worden gebruikt voor het bouwen en vrijgeven van software - bijvoorbeeld broncode-opslagplaatsen, bouwsystemen of opslag van binaire artefacten - kan een aanval een heimelijke achterdeur in de code."

Dus het enkele feit dat LastPass de ontwikkeling en test gescheiden heeft gehouden van zijn productieomgeving, is niet genoeg garantie dat klanten volledig beschermd waren, zegt hij.

LastPass zelf heeft alleen bevestigd dat de bedreigingsactor achter de inbreuk in augustus toegang heeft tot de broncode en ander intellectueel eigendom. Maar het is onduidelijk of de acteur ook andere schade heeft aangericht, vertellen onderzoekers aan Dark Reading.

Joshua Crumbaugh, CEO van PhishFirewall, zegt dat ontwikkelomgevingen vaak gemakkelijke doelwitten zijn voor aanvallers om kwaadaardige code te injecteren zonder te worden gedetecteerd. "Die kwaadaardige code is als het vinden van een speld die je niet weet te zoeken in een hooiberg met naalden", zegt hij.

Ontwikkelomgevingen staan ​​er ook om bekend dat ze hardgecodeerde referenties hebben en dat API-sleutels, gebruikersreferenties en andere gevoelige informatie onveilig worden opgeslagen. "Ons onderzoek toont continu aan dat ontwikkelingsteams bij de meeste organisaties een van de minst beveiligingsbewuste afdelingen zijn", zegt Crumbaugh. Hij voegt eraan toe dat het vervolg van de inbreuk op LastPass suggereert dat ze de acties van de aanvallers na de eerste inbreuk niet volledig hebben getraceerd.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?