LastPass, qui en décembre 2022 a révélé une grave violation de données qui a permis aux acteurs de la menace d’accéder à des coffres-forts de mots de passe cryptés, a déclaré que cela s’était produit à la suite du même adversaire lançant une deuxième attaque sur ses systèmes.
La société a déclaré que l’un de ses ingénieurs DevOps avait son ordinateur personnel piraté et infecté par un enregistreur de frappe dans le cadre d’une cyberattaque soutenue qui a exfiltré des données sensibles de ses serveurs de stockage en nuage Amazon AWS.
« L’acteur de la menace a exploité les informations volées lors du premier incident, les informations disponibles à partir d’une violation de données tierce et une vulnérabilité dans un progiciel multimédia tiers pour lancer une deuxième attaque coordonnée », a déclaré le service de gestion des mots de passe.
Cette intrusion a ciblé l’infrastructure, les ressources et l’un de ses employés de l’entreprise du 12 août 2022 au 26 octobre 2022. L’incident initial, en revanche, s’est terminé le 12 août 2022.
La brèche d’août a vu les intrus accéder au code source et aux informations techniques exclusives de son environnement de développement au moyen d’un seul compte d’employé compromis.
En décembre 2022, LastPass a révélé que l’acteur de la menace avait exploité les informations volées pour accéder à un environnement de stockage basé sur le cloud et mettre la main sur « certains éléments des informations de nos clients ».
Plus tard dans le même mois, l’attaquant inconnu a été révélé comme ayant obtenu l’accès à une sauvegarde des données du coffre-fort client qui, selon lui, était protégée à l’aide d’un cryptage AES 256 bits. Il n’a pas divulgué la date de la sauvegarde.
GoTo, la société mère de LastPass, a également avoué une violation le mois dernier résultant d’un accès non autorisé au service de stockage en nuage tiers.
Désormais, selon l’entreprise, l’acteur menaçant s’est engagé dans une nouvelle série « d’activités de reconnaissance, de dénombrement et d’exfiltration » visant son service de stockage en nuage entre août et octobre 2022.
« Plus précisément, l’acteur de la menace a pu tirer parti des informations d’identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage cloud partagé », a déclaré LastPass, ajoutant que l’ingénieur « avait accès aux clés de déchiffrement nécessaires pour accéder au service de stockage cloud ».
Cela a permis à l’acteur malveillant d’accéder aux compartiments AWS S3 qui abritaient les sauvegardes des données des clients LastPass et des coffres chiffrés, a-t-il ajouté.
Les mots de passe de l’employé auraient été siphonnés en ciblant l’ordinateur personnel de l’individu et en exploitant un « progiciel multimédia tiers vulnérable » pour réaliser l’exécution de code à distance et installer un logiciel d’enregistreur de frappe.
« L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé s’est authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », a déclaré LastPass.
LastPass n’a pas révélé le nom du logiciel multimédia tiers utilisé, mais il semble qu’il pourrait s’agir de Plex sur la base du fait qu’il a lui-même subi une violation fin août 2022.
À la suite de l’incident, LastPass a déclaré avoir amélioré sa posture de sécurité en faisant tourner les informations d’identification critiques et à privilèges élevés et en réémettant les certificats obtenus par l’acteur de la menace, et qu’il avait appliqué des mesures de renforcement S3 supplémentaires pour mettre en place des mécanismes de journalisation et d’alerte.
Il est fortement recommandé aux utilisateurs de LastPass de modifier leurs mots de passe principaux et tous les mots de passe stockés dans leurs coffres-forts pour atténuer les risques potentiels, si ce n’est déjà fait.