LastPass: ataque direcionado a engenheiro levou a exposição de dados

Uma combinação de dados comprometidos, vulnerabilidades conhecidas e técnicas de engenharia social foi a responsável pelo ataque contra o LastPass. A sequência de exposições aconteceu no segundo semestre do ano passado e teve seu capítulo mais grave no final do ano, com o vazamento de senhas criptografadas dos usuários; a origem, entretanto, foi um golpe direcionado contra um engenheiro de software da empresa.

• Especialistas acusam LastPass de minimizar vazamento de senhas de usuários
• 8 dicas para manter a segurança de suas senhas

As novidades sobre o incidente aparecem em mais uma atualização fornecida pelo LastPass nesta segunda-feira (27). O alvo tinha um cargo sênior na estrutura do LastPass e era um dos somente quatro engenheiros a terem acesso às chaves de criptografia dos servidores usados pela empresa na nuvem da Amazon. Os bandidos sabiam disso e tiveram como foco a instalação de um malware que registra dados digitados no computador do trabalhador.

Para aplicar o golpe de engenharia social necessário para isso, os criminosos teriam usado informações de um vazamento sofrido pelo LastPass em agosto do ano passado, dados de outro comprometimento também envolvendo o mesmo indivíduo e uma vulnerabilidade que permitiu a execução remota de códigos. Os detalhes da investida, claro, não foram revelados pela companhia, mas ela foi tão bem-sucedida que os bandidos conseguiram invadir a rede obtendo a senha mestra do funcionário, mesmo após a autenticação em duas etapas.

O que veio a seguir foi o download de conteúdos disponíveis nos servidores, que por sua vez, deram acesso ao sistema de cloud computing da Amazon onde estavam backups de cofres de senhas dos usuários, plataformas do próprio LastPass e outros recursos que mantinham a plataforma no ar. Os bandidos permaneceram com acesso por mais de dois meses, entre os dias 12 de agosto e 26 de outubro de 2022.

De acordo com a atualização, o uso de credenciais legítimas de um engenheiro sênior de software dificultou as investigações, o que levou à demora no fornecimento de informações. O acesso indevido só foi descoberto quando os bandidos tentaram realizar tarefas para as quais não tinham as permissões necessárias, o que gerou um alerta dos sistemas de segurança do próprio Amazon Web Services.

O que vazou do LastPass?

Com a publicação, o serviço também atualizou a relação do conteúdo que efetivamente foi exposto de seus servidores. De acordo com a empresa, o total de dados comprometidos pode variar de usuário para usuário, com alguns fazendo parte de apenas porções do volume vazado, enquanto os dados obtidos de clientes corporativos podem ser diferentes daqueles dos usuários finais.

A lista do estrago, porém, é grande e considerável:

• 14 de 200 repositórios de software em desenvolvimento, para produtos de cloud, sob demanda ou de código aberto;
• Scripts internos dos repositórios acima;
• Documentos internos que descreviam como o ambiente de desenvolvimento funcionava;
• Segredos de acesso aos sistemas de DevOps, focados na produção de aplicativos e serviços;
• Backups armazenados na nuvem contendo segredos de API, dados de configuração e informações de usuários como URLs, caminhos de instalação de apps e e-mails (outros dados foram obtidos, mas estão criptografados com uma chave exclusiva ligada à senha-mestre de cada utilizador);
• Backups de seeds de autenticação em duas etapas, números de telefone usados para essa verificação e chaves K2 (dados criptografados, mas a chave estava disponível em meio aos segredos vazados dos sistemas de DevOps).

O LastPass também divulgou guias de segurança que indicam as melhores práticas de proteção das contas e cofres de senhas para cada categoria de usuário, desde os gratuitos até os grandes clientes corporativos. As dicas envolvem desde recomendações básicas, como o uso de credenciais únicas e exclusivas, até o uso de plataformas online de vazamento de dados e monitoramento de comprometimentos na dark web.

Fonte: LastPass