LastPass выпускает новое раскрытие информации об инцидентах безопасности и рекомендации

LastPass выпускает новое раскрытие информации об инцидентах безопасности и рекомендации

12 марта 2023 г.
Атаки LastPass начались со взлома домашнего компьютера сотрудника. Теперь расследование показывает, что хранилище данных компании-менеджера паролей было скомпрометировано.

В прошлом году LastPass дважды взламывался одним и тем же актером; об одном инциденте было сообщено в конце августа 2022 года, а о другом — 30 ноября 2022 года. В среду глобальная компания по управлению паролями опубликовала отчет с новыми выводами расследования инцидента безопасности, а также с рекомендуемыми действиями для пострадавших пользователей и предприятий.

Перейти к:

    Как происходили атаки LastPass и что было скомпрометировано Рекомендации по безопасности от LastPass Альтернативы LastPass и влияние взломов Будущее без пароля

Как происходили атаки LastPass и что было скомпрометировано

Как сообщает LastPass, хакер первоначально взломал корпоративный ноутбук инженера-программиста в августе. Первая атака была критической, поскольку хакер смог использовать информацию, украденную злоумышленником во время первоначального инцидента безопасности. Воспользовавшись уязвимостью в пакете программного обеспечения сторонних производителей, злоумышленник начал вторую скоординированную атаку. Вторая атака была нацелена на домашний компьютер инженера DevOps.

«Злоумышленник смог перехватить мастер-пароль сотрудника, поскольку он был введен после того, как сотрудник прошел аутентификацию с помощью MFA и получил доступ к корпоративному хранилищу LastPass инженера DevOps», — подробно говорится в недавнем отчете компании об инциденте с безопасностью.

LastPass подтвердил, что во время второго инцидента злоумышленник получил доступ к хранилищу данных компании, облачному хранилищу резервных копий, содержащему данные конфигурации, секреты API, секреты сторонней интеграции, метаданные клиентов, и всем резервным копиям данных хранилища клиентов. Хранилище LastPass также включает доступ к общей облачной среде хранения, которая содержит ключи шифрования для резервных копий хранилища клиентов, хранящихся в корзинах Amazon S3, где пользователи хранят данные в своей облачной среде Amazon Web Services.

Вторая атака была целенаправленной и тщательно проработанной, так как она была нацелена на одного из четырех сотрудников LastPass, имеющих доступ к корпоративному хранилищу. После того, как хакер получил расшифрованное хранилище, киберпреступник экспортировал записи, включая ключи дешифрования, необходимые для доступа к производственным резервным копиям AWS S3 LastPass, другим ресурсам облачного хранилища и соответствующим резервным копиям критически важных баз данных.

Рекомендации по безопасности от LastPass

LastPass выпустила рекомендации для затронутых пользователей и предприятий в двух бюллетенях по безопасности. Вот ключевые детали из этих бюллетеней.

Бюллетень по безопасности: рекомендуемые действия для бесплатных, премиальных и семейных версий LastPass включает в себя рекомендации, в первую очередь сосредоточенные на мастер-паролях, руководства по созданию надежных паролей и включению дополнительных уровней безопасности, таких как многофакторная аутентификация. Компания также призвала пользователей сбросить свои пароли.

В идеале мастер-пароли LastPass должны иметь длину от 16 до 20 символов, содержать как минимум одну прописную и строчную буквы, цифры, символы и специальные символы и быть уникальными, то есть не использоваться на другом сайте. Чтобы сбросить мастер-пароли LastPass, пользователи могут следовать официальному руководству LastPass.

LastPass также попросил пользователей использовать панель безопасности, чтобы проверить уровень безопасности их текущего пароля, включить и проверить функцию мониторинга даркнета, а также включить MFA по умолчанию. Темный веб-мониторинг предупреждает пользователей, когда их адреса электронной почты появляются на темных веб-форумах и сайтах.

Бюллетень по безопасности: рекомендуемые действия для бизнес-администраторов LastPass был подготовлен исключительно после мероприятия, чтобы помочь предприятиям, использующим LastPass. Более полное руководство включает 10 пунктов:

    Длина и сложность мастер-пароля. Итерация засчитывается для мастер-паролей. Рекомендации суперадминистратора. МИД поделился секретами. Интеграция с SIEM Splunk. Воздействие из-за незашифрованных данных. Устаревшие приложения с паролями (отправка сайтов пользователям). Сбросьте ключи SCIM, Enterprise API и SAML. Объединенные соображения клиентов. Дополнительные соображения.

Пользователи LastPass с суперадминистратором имеют дополнительные привилегии, которые выходят за рамки обычного администратора. Учитывая их широкие полномочия, компания выпустила специальные рекомендации для суперадминистраторов после атак. Рекомендации суперадминистратора LastPass включают следующее.

    Следуйте рекомендациям по мастер-паролю и итерациям. Убедитесь, что ваши суперадминистраторы имеют надежные мастер-пароли и надежные счетчики итераций. Проверьте суперадминистраторов с правами политики «Разрешить суперадминистраторам сбрасывать мастер-пароли». быть в опасности. Они должны быть рассмотрены. Провести проверку безопасности. Компании должны провести всестороннюю проверку безопасности, чтобы определить дальнейшие действия с учетной записью LastPass Business. Действия после проверки. Выявите подверженные риску учетные записи суперадминистраторов и определите, что суперадминистраторы со слабым мастер-паролем или счетчиком итераций должны предпринять следующие действия: Клиенты с федеративным входом: рассмотрите возможность дефедерации и повторной федерации всех пользователей и попросите пользователей чередовать все учетные данные хранилища. Клиенты, не входящие в систему федерации: рассмотрите возможность сброса мастер-паролей пользователей и попросите пользователей сменить все учетные данные хранилища.
    Ротация учетных данных: LastPass предлагает использовать подход, основанный на оценке рисков, для определения приоритетов ротации критически важных учетных данных в хранилищах конечных пользователей. Проверьте суперадминистраторов с правами «Разрешить суперадминистраторам доступ к общим папкам». Сбросьте главный пароль, если пароль суперадминистратора оказался слабым. Меняйте учетные данные в общих папках. Исследование MFA: создайте отчет о включенной многофакторной проверке подлинности, чтобы показать пользователям, которые включили параметр MFA, включая решения MFA, которые они используют. Сброс секретов MFA: для LastPass Authenticator, Google Authenticator, Microsoft Authenticator или Grid сбросьте все секреты MFA. Отправка электронной почты пользователям: сброс общих секретов MFA уничтожает все сеансы LastPass и доверенные устройства. Пользователи должны снова войти в систему, пройти проверку местоположения и повторно включить свои соответствующие приложения MFA, чтобы продолжить использование службы. LastPass рекомендует отправить электронное письмо с информацией о процессе повторной регистрации. Сообщайте: сообщайте отчеты об инцидентах безопасности и действиях, которые необходимо предпринять. Предупредите пользователей о методах фишинга и социальной инженерии.

Альтернативы LastPass и влияние взломов

LastPass выразил уверенность в том, что предпринял необходимые действия для сдерживания и устранения доступа к сервису в будущем; однако, согласно Wired, последнее раскрытие LastPass было настолько тревожным, что специалисты по безопасности быстро «начали призывать пользователей переключаться на другие сервисы». Основными конкурентами LastPass являются 1Password и Dashlane.

ПОСМОТРЕТЬ: Bitwarden против 1Password | Keeper против LastPass (TechRepublic)

Эксперты также подвергли сомнению прозрачность LastPass, которая не в состоянии датировать отчеты об инцидентах безопасности и до сих пор не установила рекорд точно, когда произошла вторая атака, а также сколько времени хакер находился внутри системы; время, которое хакер проводит внутри системы, значительно влияет на количество данных и систем, которые могут быть взломаны. (Я связался с LastPass за комментарием, но не получил ответа на момент публикации.)

Для пользователей LastPass последствия этих недавних инцидентов с безопасностью очевидны. Хотя компания уверяет, что нет никаких признаков того, что скомпрометированные данные продаются или продаются в даркнете, бизнес-администраторам приходится иметь дело с подробными рекомендациями, выдаваемыми LastPass.

Будущее без пароля

К сожалению, тенденция взлома менеджеров паролей не нова. С 2016 года каждый год в LastPass происходят инциденты безопасности, а другие ведущие менеджеры паролей, такие как Norton LifeLock, Passwordstate, Dashlane, Keeper, 1Password и RoboForm, либо подвергались атакам, взлому, либо оказались уязвимыми, как сообщает Best Reviews.

Киберпреступники все чаще нацеливаются на компании, управляющие паролями, потому что они хранят конфиденциальные данные, которые могут быть использованы для доступа к миллионам учетных записей, включая облачные учетные записи, в которых размещены критически важные для бизнеса системы и цифровые активы. В этой высококонкурентной среде методы кибербезопасности, прозрачность, взломы и эксфильтрация данных могут повлиять на будущее этих компаний, занимающихся управлением паролями.

Несмотря на то, что к 2028 году ожидается, что рынок менеджеров паролей достигнет 7,09 млрд долларов, согласно отчетам SkyQuest, неудивительно, что будущее без паролей продолжает набирать обороты благодаря Apple, Microsoft и Google в рамках альянса FIDO. Прочитайте недавнее интервью TechRepublic с 1Password о своих планах на будущее без паролей.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE