ในเดือนธันวาคม 2565 LastPass ได้เปิดเผยถึงเหตุการณ์ข้อมูลรั่วไหลที่เกิดจากการที่ผู้โจมตีสามารถเข้าถึงที่จัดเก็บข้อมูลรหัสผ่านที่มีการเข้ารหัสไว้ และระบุว่าเหตุการณ์ครั้งนี้เกิดขึ้นจากผู้ไม่หวังดีรายเดียวกันกับการโจมตีในครั้งแรก
บริษัทเปิดเผยว่าหนึ่งในวิศวกรทางด้าน DevOps ถูกโจมตีคอมพิวเตอร์ส่วนบุคคล โดยผู้โจมตีใช้ประโยชน์จากข้อมูลที่ถูกขโมยมาในเหตุการณ์ครั้งแรก ข้อมูลที่ได้มาจากเหตุการณ์ข้อมูลรั่วไหลจากบริการต่าง ๆ และช่องโหว่ในซอฟต์แวร์มัลติมีเดีย ทำให้ถูกติดตั้ง keylogger ซึ่งทำให้ผู้โจมตีได้ข้อมูลสำคัญออกไปจากระบบบน Amazon AWS cloud storage servers
เป้าหมายของการโจมตี คือ โครงสร้างพื้นฐาน ทรัพยากร และข้อมูลพนักงาน
เหตุการณ์ข้อมูลรั่วไหลในเดือนสิงหาคมที่ผ่านมา ส่งผลทำให้ผู้โจมตีสามารถเข้าถึงซอร์สโค้ด และข้อมูลทางเทคนิคจากสิทธิ์การเข้าถึงด้วยบัญชีนักพัฒนาเพียงบัญชีเดียว
ในเดือนธันวาคม ผู้โจมตีได้ใช้ประโยชน์จากข้อมูลที่ได้ เพื่อเข้าถึงระบบจัดเก็บข้อมูลบนคลาวด์ และได้ข้อมูลลูกค้าบางส่วนของบริษัท ต่อมาในเดือนเดียวกันผู้โจมตีได้เปิดเผยว่าได้รับสิทธ์ในการเข้าถึงฐานข้อมูลสำรองของที่จัดเก็บข้อมูลรหัสผ่านที่มีการเข้ารหัสด้วยอัลกอริทึมเข้ารหัสแบบ 256-bit AES encryption
ฝั่งของ Goto บริษัทแม่ของ LastPass ตรวจพบว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตในเดือนที่ผ่านมาบน third-party ของบริการจัดเก็บข้อมูลบนคลาวด์
LastPass ไม่ได้เปิดเผยถึงชื่อของซอฟต์แวร์มัลติมีเดียที่ถูกใช้ในการโจมตีครั้งนี้ แต่มีข้อสังเกตว่าอาจเป็นซอฟต์แวร์ Plex เนื่องจากเคยพบการถูกโจมตีในปลายเดือนสิงหาคม 2565
ตอนนี้ทาง LastPass ได้อัปเกรดระบบการรักษาความปลอดภัย โดยการ rotate ข้อมูลประจำตัวที่มีความสำคัญ และมีสิทธิ์สูง รวมถึงออกใบรับรองใหม่ ปรับใช้มาตรการด้านความปลอดภัยบน S3 ในด้านการ hardening, logging และการแจ้งเตือนต่าง ๆ
คำแนะนำ
ผู้ใช้งาน LastPass ควรทำการเปลี่ยนรหัสผ่านหลัก และรหัสผ่านทั้งหมดที่มีการจัดเก็บเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
ที่มา : thehackernews