密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。 据安全内参了解，“二次协同攻击”事件，是指LastPass在2022年8月、12月先后披露的两起违规事件，这两起事件的攻击链有关联。 关键运维员工遭定向攻击 LastPass在去年12月透露，恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在，该公司进一步解释了恶意黑客的攻击实施方法，称对方使用到了去年8月首次入侵时窃取的信息，还利用一个远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。 LastPass表示，二次协同攻击利用到了首轮违规中外泄的数据，并访问了该公司经过加密的Amazon S3存储桶。 LastPass公司只有4位DevOps工程师有权访问这些解密密钥，因此恶意黑客将矛头指向了其中一名工程师。最终，黑客利用第三方媒体软件包中的远程代码执行漏洞，在该员工的设备上成功安装了键盘记录器。  “恶意黑客成功获取了员工在完成多因素身份验证（MFA）后输入的主密码（master password），借此获得了该DevOps工程师对LastPass企业密码保险库的访问权。”LastPass日前发布的最新安全警告称。 “恶意黑客随后导出了共享文件夹中的本地企业密码保险库条目和内容，其中包括能够访问LastPass AWS S3生产备份、其他云存储资源以及部分相关重要数据库备份的安全注释和加密密钥。” 由于恶意黑客窃取并使用了有效的访问凭证，LastPass的调查人员很难检测到对方活动，导致其顺利从LastPass的云存储服务器处访问并窃取到大量数据。恶意黑客甚至持续驻留达两个月以上，从2022年8月12日一直到2022年10月26日。 直到恶意黑客尝试用云身份和访问管理（IAM）角色执行未授权操作时，LastPass才最终通过AWS GuardDuty警报检测到这些异常行为。 该公司表示，他们已经更新了安全机制，包括对敏感凭证及身份验证密钥/令牌进行轮换、撤销证书、添加其他记录与警报，以及执行更严格的安全策略等。 大量数据已被访问 作为此次披露的一部分，LastPass还发布了关于攻击中哪些客户信息遭到窃取的具体说明。 根据特定客户的不同，失窃数据的范围很广且内容多样，包括多因素身份验证（MFA）种子值、MFA API集成secreet，以及为联合企业客户提供的Split Knowledge组件（K2）密钥。 以下是被盗数据内容的基本概括，更详细的失窃信息说明请参阅LastPass支持页面（https://support.lastpass.com/help/what-data-was-accessed）。 事件1中被访问的数据汇总 云端按需开发和源代码仓库——包括全部200个软件代码仓库中的14个。 来自各代码仓库的内部脚本——其中包含LastPass secrets和证书。 内部文档——描述开发环境运作方式的技术信息。 事件2中被访问的数据汇总 DevOps secrets——用于访问我们云端备份存储的受保护secrets。 云备份存储——包含配置数据API secrets、第三方集成secrets客户元数据，以及所有客户保险库数据的备份。除URL、用于安装LastPass Windows/macOS版软件以及涉及邮件地址的特定用例之外，全部敏感客户保险库数据均通过“零知识架构”进行加密，且只能通过各用户主密码提供的唯一加密密钥实现解密。请注意，LastPass永远不会获取最终用户的主密码，也不会存储或持有主密码——因此，泄露数据中不涉及任何主密码。 LastPass MFA/联邦数据库备份——包含LastPass Authenticator的种子值副本，作为MFA备份选项（如果启用）的电话号码，以及供LastPass联邦数据库（如果启用）使用的Split Knowledge组件（即K2「密钥」）。该数据库经过加密，但在第二次违规事件中，恶意黑客窃取了单独存储的解密密钥。 本次发布的支持公告还相当“隐蔽”，由于LastPass公司在公告页面的HTML标签添加了<meta name=”robots” content=”noindex”>，因此该页面无法通过搜索引擎直接检索。 LastPass还发布一份题为“安全事件更新与建议操作”的PDF文档，其中包含关于违规和失窃数据的更多信息。 该公司也整理了支持文件，面向免费、付费和家庭客户以及LastPass Business管理员提供应对建议。 通过公告中的建议操作，应可进一步保障您的LastPass账户与相关集成。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/zvrwVei6Jy-zEDTkks7Ptg 封面来源于网络，如有侵权请联系删除  

11月30日，密码管理工具 LastPass首席执行官 Karim Toubba公开承认，通过一个新的漏洞，黑客访问了 LastPass 的第三方云存储服务器，并获得了部分客户的关键信息。但具体有多少客户因此受到影响，以及黑客窃取了哪些敏感信息暂时未公布。 在Last Pass公开承认这一数据泄露事件后，该公司进一步强调“由于LastPass采取了先进的零信任架构体系，因此客户的密码仍然被安全加密。” 但是这个保证似乎并没有让客户满意。毕竟在2022年8月，LastPass 还曾公开承认，有黑客曾进入过 LastPass 的内部系统，并窃取了部分源代码和敏感数据。仅仅三个月后，LastPass 就在一次出现如此严重的数据泄露事件。 公开信息显示，LastPass是一个在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用，是全球最大的在线密码管理软件。 值得一提的是，11月发生的数据泄露事件和8月发生的源代码泄露存在关联，根据LastPass 首席执行官 Karim Toubba的说法，黑客利用了“8月事件中获得的信息” ，从而获得了对用户数据的访问。 LastPass 表示，目前公司已经聘请专业网络安全公司Mandiant调查此事件，并将此次攻击的情况和执法部门进行了汇报。 近几年，LastPass 频频传出数据、密码泄露丑闻。2021年年底，许多LastPass用户在收到LastPass登录电子邮件警告，邮件告知他们的主密码已被泄露，有人试图从未知位置登录他们的帐户。事后，LastPass 回应异常登录称，暂无证据表明数据泄露，但用户并不买账，并对LastPass的安全性提出了质疑。 Lastpass母公司GoTo也遭受影响 由于第三方云存储服务由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务，并泄露了相应的数据。 GoTo表示，该攻击事件并未影响他们的产品和服务，并且它们仍然可以正常运行。为了更好地确保安全，GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。 有国外媒体向 GoTo 询问事件发生的具体信息及相关后果，例如攻击发生的时间或源代码是否被盗，但尚未得到回复。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351313.html 封面来源于网络，如有侵权请联系删除

LastPass 表示发生于今年 8 月的安全事件里，在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中，Lastpass 的首席执行官 Karim Toubba 还表示，该公司的调查（与网络安全公司 Mandiant 合作进行）没有发现威胁行为者访问客户数据或加密密码库的证据。 Toubba 表示：“尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境，但调查发现，攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后，该公司也没有发现攻击者试图注入恶意代码的证据。 这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production，即便如此，Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外，他补充说，LastPass 开发环境与 LastPass 的生产环境“物理分离，并且没有直接连接”。 事件发生后，Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制，以及额外的威胁情报功能和增强的检测和预防技术。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317291.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。 8月25日，在发送有关此次攻击的问题后，LastPass 发布了一份安全公告，确认黑客是通过访问公司开发人员的账户进行入侵，并对开发环境进行破坏。 在发布的安全报告中，LastPass表示目前没有任何证据表明客户数据或加密的密码库遭到破坏，但承认攻击者确实窃取了部分“源代码”和“LastPass 专有的技术信息”。 攻击事件发生后，LastPass对外称已经聘请了一家领先的网络安全和取证公司进行处理，尽可能部署遏制和缓解措施，降低该事件带来的影响。“虽然该事件的调查还在持续进行，但是我们已经有效遏制了此次攻击，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。” LastPass向客户发送了电子邮件告知此次攻击事件，至于和此次攻击的详细过程，以及攻击者如何入侵开发者帐户，哪些源代码和专有技术信息被盗等相关信息，LastPass 并没有对外提供。 LastPass 安全咨询通过电子邮件发送给客户 资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。 由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，如果黑客获取了相应的权限，那么很有可能被允许访问用户存储的密码信息。 对此，LastPass表示公司将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，在此次攻击中并未收到任何破坏。 但是该声明并未打消用户的全部疑虑，因为在2021年，LastPass曾遭受撞库攻击，并且攻击者可以确认用户的主密码。更糟糕的是，这些主密码被使用RedLine 密码窃取恶意软件的攻击者窃取。 换句话说，用户不可因为信任LastPass 而完全放松警惕，主密码也有可能在网络攻击中泄露，所以在LastPass 帐户上启用多因素身份验证是一件非常有必要的措施。此外，还需要保持良好的密码使用习惯，并定期进行更换，提高密码的安全性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343183.html 封面来源于网络，如有侵权请联系删除

针对有用户报告称存在未经授权的登录尝试之后，LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示，用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录 LastPass 账户的恶意尝试，这些密码是破坏者从过去第三方服务（即不是 LastPass）的漏洞中获得的。 Basco-Albaum 说：“需要注意的是，我们没有任何迹象表明账户被成功访问或 LastPass 服务被未经授权的一方破坏。我们定期监测这类活动，并将继续采取旨在确保 LastPass、其用户和他们的数据得到保护和安全的措施”。即使 LastPass 实际上没有被破坏，用多因素认证加固你的账户仍然是一个好主意，多因素认证在你登录你的账户之前使用外部资源来验证你的身份。   （消息及封面来源：cnBeta）

有使用LastPass的用户报告说，有多人试图使用正确的主密码从不同地点登录，表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的，但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的LastPass账户的用户，这意味着他们已经有一段时间没有使用该服务，也没有改变密码。这表明正在使用的主密码列表可能来自早期的数据库。 一些用户声称，修改密码并没有帮助，一个用户声称，每次修改密码时，他们都看到来自不同地点的新的登录尝试。目前还不清楚密码泄露的严重程度，也不清楚LastPass目前是否受到攻击。 到目前为止，LastPass还没有发表官方声明。如果有可能的话，建议LastPass用户更改密码，启用双因素认证，并留意可疑的登录尝试。也可以选择从该服务中删除密码，并迁移到1Password或苹果的iCloud Keychain。 LastPass是一个免费的密码管理器，可用于桌面和移动设备。   （消息及封面来源：cnBeta）