Злоумышленник, который взломал среду разработки программного обеспечения в LastPass в августе этого года и украл исходный код и другие конфиденциальные данные компании, похоже, снова нанес удар по фирме, занимающейся управлением паролями.

В среду LastPass сообщила, что расследует недавний инцидент, когда кто-то, используя информацию, полученную во время августовского вторжения, смог получить доступ к исходному коду и неуказанным данным клиентов, хранящимся в неназванном стороннем облачном хранилище. LastPass не раскрывает, к каким данным клиентов мог получить доступ злоумышленник, но утверждает, что ее продукты и услуги остаются полностью функциональными.

Необычная активность

«Недавно мы обнаружили необычную активность в стороннем облачном хранилище, которым в настоящее время пользуются как LastPass, так и его дочерняя компания GoTo». LastPass сказал. «Мы немедленно начали расследование, привлекли Mandiant, ведущую охранную фирму, и предупредили правоохранительные органы».

Заявление LastPass совпало с заявлением GoTo, также сделанным в среду, в котором говорилось о том, что такая же необычная активность в стороннем облачном хранилище-сервисе. Кроме того, в заявлении GoTo говорится, что эта деятельность повлияла на его среду разработки, но не приводится никаких других подробностей. Как и LastPass, GoTo заявила, что ее службы видеоконференцсвязи и совместной работы оставались полностью функциональными, пока они расследуют инцидент.

Неясно, связано ли очевидное нарушение среды разработки GoTo с августовским вторжением в LastPass или эти два инцидента совершенно разные. Обе компании отказались отвечать на вопрос Dark Reading о том, могут ли быть связаны эти два инцидента.

Новая брешь в LastPass предполагает, что злоумышленники возможно, получил доступ к большему количеству данных от компании в августе чем считалось ранее. LastPass ранее отмечал, что злоумышленник в ходе августовского взлома получил доступ к его среде разработки, украв учетные данные разработчика программного обеспечения и выдав себя за этого человека. С тех пор компания утверждает, что злоумышленник не получил доступа к каким-либо данным клиентов или зашифрованным хранилищам паролей из-за конструкции своей системы и имеющихся в ней средств контроля.

Были ли средства безопасности LastPass достаточно надежны?

Эти элементы управления включают в себя полное физическое и сетевое отделение среды разработки от производственной среды и обеспечение того, чтобы среда разработки не содержала данных клиентов или зашифрованных хранилищ. LastPass также отметил, что у него нет доступа к мастер-паролям к хранилищам клиентов, тем самым гарантируя, что только клиент может получить к нему доступ.

Майкл Уайт, технический директор и главный архитектор Synopsys Software Integrity Group, говорит, что практика LastPass по разделению разработки и тестирования и обеспечению того, чтобы никакие данные клиентов не использовались в разработке/тестировании, безусловно, является хорошей практикой и соответствует рекомендациям.

Однако тот факт, что злоумышленнику удалось получить доступ к его среде разработки, означает, что он потенциально может нанести большой ущерб.

«Короткий ответ заключается в том, что мы просто не можем знать, основываясь на том, что было сказано публично», — говорит Уайт. «Однако, если затронутые системы разработки имеют какой-либо доступ к общим внутренним инструментам, используемым для сборки и выпуска программного обеспечения — например, репозиториям исходного кода, системам сборки или хранилищу двоичных артефактов — это может позволить атаке ввести тайный черный ход в систему. код."

Таким образом, сам факт того, что LastPass мог отделить разработку и тестирование от производственной среды, не является достаточной гарантией полной защиты клиентов, говорит он.

Сама LastPass только подтвердила, что злоумышленник, стоящий за августовским взломом, получил доступ к его исходному коду и некоторой другой интеллектуальной собственности. Но неясно, мог ли актер нанести и другой ущерб, сообщают исследователи Dark Reading.

Джошуа Крамбо, генеральный директор PhishFirewall, говорит, что среды разработки, как правило, представляют собой легкую мишень для злоумышленников, которые могут внедрить вредоносный код, не будучи обнаруженными. «Этот вредоносный код подобен поиску иголки, которую вы не знаете, как искать в стоге иголок», — говорит он.

Среды разработки также известны наличием жестко заданных учетных данных и небезопасным хранением ключей API, учетных данных пользователей и другой конфиденциальной информации. «Наши исследования постоянно показывают, что команды разработчиков являются одним из наименее осведомленных отделов в большинстве организаций, — говорит Крамбо. Он добавляет, что продолжение взлома LastPass предполагает, что они не полностью отследили действия злоумышленников после первого взлома.

• Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.Кликните сюда
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/lastpass-discloses-second-breach-in-three-months