Хакер #305. Многошаговые SQL-инъекции
Разработчики менеджера паролей LastPass (которым пользуются более 33 миллионов человек по всему миру) сообщили, что неизвестные злоумышленники взломали облачное хранилище компании и получили доступ к данным клиентов. Примечательно, что для этого взлома хакеры использовали данные, украденные у компании ранее, во время предыдущей атаки, которая произошла в августе 2022 года.
Напомню, что минувшим летом стало известно о взломе, которому подверглась LastPass. Тогда в компании сообщали, что неизвестные хакеры получили доступ к среде разработки, скомпрометировав учетную запись одного из сотрудников. Хотя в LastPass заявляли, что не обнаружили никаких доказательств компрометации данных клиентов и зашифрованных хранилищ паролей, было подтверждено, что злоумышленники сумели похитить части исходного кода и «проприетарную техническую информацию». Хуже того, при расследовании инцидента выяснилось, что хакеры оставались незамеченными в сети компании четыре дня.
Теперь представители LastPass заявили о повторной компрометации, причем на этот раз затронувшей и данные клиентов.
«Недавно мы обнаружили необычную активность в стороннем облачном хранилище, которым в настоящее время пользуются как LastPass, так и аффилированной компанией GoTo, — говорят в компании. — Мы определили, что неавторизованная сторона, используя информацию, полученную в ходе инцидента в августе 2022 года, сумела получить доступ к некоторым данным наших клиентов».
Сообщается, что к расследованию произошедшего уже привлекли ИБ-компанию Mandiant, а также о взломе уведомили правоохранительные органы. Отдельно подчеркивается, что пароли клиентов не были скомпрометированы и «остаются надежно зашифрованными благодаря архитектуре нулевого разглашения (Zero Knowledge)».
«Мы усердно работаем над определением масштаба инцидента и выясняем, к какой конкретной информации был получен доступ», — добавляют в Lastpass.
Представители упомянутой выше компании GoTo (ранее LogMeIn, этой компании с 2015 года принадлежит LastPass), специализирующейся на удаленном доступе и совместной работой, также подтверждают факт атаки и пишут, что злоумышленники получили доступ к среде разработки и стороннему облачному хранилищу.