ผู้จัดการรหัสผ่านชั้นนำ LastPass และบริษัทในเครือซึ่งเป็นผู้ให้บริการซอฟต์แวร์การสื่อสาร GoTo เปิดเผยว่าพวกเขาประสบกับการละเมิดโครงสร้างพื้นฐานที่เก็บข้อมูลบนคลาวด์หลังจากการโจมตีทางไซเบอร์ในเดือนสิงหาคม 2022
ในการอัปเดต (เปิดในแท็บใหม่) เกี่ยวกับเหตุการณ์ที่เกิดขึ้น บริษัทยอมรับว่าเพิ่งตรวจพบ "กิจกรรมที่ผิดปกติ" ภายในบริการจัดเก็บข้อมูลบนคลาวด์ของบุคคลที่สามที่ใช้โดยทั้ง LastPass และ GoTo
ผลการสืบสวนของ LastPass ซึ่งลงนามโดย Karim Toubba ซีอีโอของ LastPass และเกี่ยวข้องกับผู้เชี่ยวชาญด้านความปลอดภัยของ Mandiant แสดงให้เห็นว่ามีคนใช้ข้อมูลรับรองที่รั่วไหลออกมาในระหว่างเหตุการณ์เพื่อเข้าถึง "องค์ประกอบบางอย่าง" ของข้อมูลของลูกค้า LastPass
รหัสผ่านมีความปลอดภัย
Toubba ไม่ได้ให้รายละเอียดเกี่ยวกับประเภทของข้อมูลที่ถูกเข้าถึง แต่กล่าวว่ารหัสผ่านของผู้ใช้ไม่ได้ถูกเปลี่ยน
“รหัสผ่านของลูกค้าของเรายังคงได้รับการเข้ารหัสอย่างปลอดภัยด้วยสถาปัตยกรรม Zero Knowledge ของ LastPass” เขากล่าว
“ในขณะที่การสืบสวนของเรากำลังดำเนินอยู่ เราได้เข้าสู่สถานะการกักกัน ได้ใช้มาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุงเพิ่มเติม และไม่พบหลักฐานเพิ่มเติมของกิจกรรมที่ไม่ได้รับอนุญาต”
ในฐานะหนึ่งในผู้จัดการและเครื่องมือสร้างรหัสผ่านระดับมืออาชีพที่ได้รับความนิยมมากที่สุด ได้รับความไว้วางใจจากธุรกิจกว่า 100 รายทุกวัน LastPass ไม่ใช่คนแปลกหน้าสำหรับการละเมิดข้อมูลโดยอาชญากรไซเบอร์
ก่อนหน้านี้ TechRadar Pro รายงานว่าบริษัทยืนยันเมื่อปลายเดือนกันยายน 2022 ว่าผู้คุกคามที่รับผิดชอบการละเมิดครั้งแรกในเดือนสิงหาคมซ่อนตัวอยู่ในเครือข่ายเป็นเวลาหลายวันก่อนที่จะถูกไล่ออก
อย่างไรก็ตาม ผู้คุกคามไม่สามารถเข้าถึงข้อมูลภายในของลูกค้าหรือห้องนิรภัยรหัสผ่านที่เข้ารหัสได้ในขณะนั้น LastPass กล่าวว่าการพัฒนาล่าสุดไม่ได้เปลี่ยนแปลง ต้องขอบคุณสถาปัตยกรรม Zero Knowledge (เปิดในแท็บใหม่)
“แม้ว่าผู้คุกคามจะสามารถเข้าถึงสภาพแวดล้อมการพัฒนาได้ แต่การออกแบบระบบและการควบคุมของเราป้องกันไม่ให้พวกเขาเข้าถึงข้อมูลลูกค้าหรือห้องเก็บรหัสผ่านที่เข้ารหัส” Toubba กล่าวในขณะนั้น
เห็นได้ชัดว่าผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมการพัฒนาของบริษัทผ่านจุดสิ้นสุดของนักพัฒนาที่ถูกบุกรุก
การสืบสวนและนิติวิทยาศาสตร์ไม่สามารถระบุวิธีการที่แน่นอนที่ใช้สำหรับการประนีประนอมเบื้องต้นของจุดยุติได้ Toubba กล่าวว่าผู้โจมตีใช้การเข้าถึงแบบถาวรเพื่อแอบอ้างเป็นผู้พัฒนาหลังจากยืนยันตัวตนด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัยสำเร็จแล้ว