Хакер #305. Многошаговые SQL-инъекции
Разработчики менеджера паролей LastPass сообщили, что злоумышленники, недавно проникшие в облачное хранилище компании, получили доступ к данным клиентов, включая хранилища паролей, которые теперь теоретически могут быть взломаны.
Напомню, что о компрометации облачного хранилища компании стало известно ранее в этом месяце. Примечательно, что для этого взлома хакеры использовали данные, ранее украденные у компании ранее: во время предыдущей атаки, которая произошла в августе 2022 года.
В начале декабря разработчики писали, что «неавторизованная сторона, используя информацию, полученную в ходе инцидента в августе 2022 года, сумела получить доступ к некоторым данным клиентов», но подробностей не было, так как их обещали предоставить после завершения расследования.
Теперь расследование окончено, и глава LastPass Карим Тубба (Karim Toubba) рассказывает, что взломанное облачное хранилище использовалось для хранения архивных резервных копий рабочих данных, хотя и было физически отделено от производственной среды.
«Злоумышленник скопировал информацию из резервной копии, которая содержала основные данные об учетных записях клиентов и связанные с этим метаданные, включая названия компаний, имена конечных пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса, с которых клиенты получали доступ к службе LastPass, — пишет Тубба. — Злоумышленник также смог скопировать бэкап данных хранилищ клиентов из зашифрованного контейнера, который хранится в проприетарном двоичном формате и содержит как незашифрованные данные (такие как URL-адреса сайтов), так и полностью зашифрованные конфиденциальные поля, такие как веб-сайты, имена пользователей и пароли, защищенные заметки и данные для заполнения форм».
Подчеркивается, что зашифрованные данные защищены 256-битным шифрованием AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя. Тубба отмечает, что мастер-пароль не известен LastPass, и он не хранится в системах LastPass.
Впрочем, пользователей все равно предупреждают о том, что злоумышленники могут попытаться взломать их мастер-пароли, чтобы получить доступ к украденным зашифрованным данным хранилищ. При этом разработчики настаивают, что «потребуются миллионы лет, чтобы подобрать мастер-пароль с помощью общедоступных технологий для взлома паролей».
«Конфиденциальные данные вашего хранилища, такие как имена пользователей и пароли, защищенные заметки, вложения и данные для заполнения форм, остаются надежно зашифрованными благодаря архитектуре нулевого разглашения (Zero Knowledge)», — пишут разработчики.
При этом в LastPass признают, что утекшие данные все же могут использоваться для фишинговых атак на пользователей, атак с подстановкой учетных данных (credential stuffing) или бртуфорса аккаунтов, связанных с хранилищем LastPass.