密码解决方案厂家LastPass 的开发系统曾被突破

2022年9月19日09:29:08评论13 views字数 1346阅读4分29秒阅读模式

最近，LastPass称，其与 Mandiant 合作完成了调查和取证过程。调查显示，威胁行为者的活动仅限于 2022 年 8 月的四天。在此期间，LastPass 安全团队检测到威胁行为者的活动，然后有效控制了事件。没有证据表明任何威胁参与者活动超出既定时间表。可以确认，没有证据表明此事件涉及对客户数据或加密密码库的任何访问。  

调查确定威胁参与者使用开发人员的受感染端点获得了对开发环境的访问权限。虽然用于初始端点妥协的方法尚无定论，但一旦开发人员 使用多因素身份验证成功进行身份验证，攻击者就会利用他们的持久访问权限来冒充开发 人员。

尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库。

首先，LastPass 开发环境与生产环境在物理上是分开的，并且没有直接连接。其次，开发环境不包含任何客户数据或加密保险库。第三，作为零知识安全模型的一部分，LastPass 无法访问客户保管库的主密码——没有主密码，除了保管库所有者之外的任何人都无法解密保管库数据。 

为了验证代码完整性，对源代码和生产构建进行了分析，并确认没有看到任何代码中毒或恶意代码注入尝试的证据。开发人员无法将 源代码从开发环境推送到生产环境。此功能仅限于单独的构建发布团队，并且只能在完成严格的代码审查、测试和验证过程后才能实现。

作为风险管理计划的一部分，还与一家领先的网络安全公司合作，以进一步加强我们现有的源代码安全实践，其中包括安全的软件开发生命周期流程、威胁建模、漏洞管理和漏洞奖励计划。

此外，LastPass声称还部署了增强的安全控制，包括额外的端点安全控制和监控。我们还在我们的开发和生产环境中部署了额外的威胁情报功能以及增强的检测和预防技术。

密码管理解决方案 LastPass 上个月分享了与安全事件有关的更多细节，披露威胁行为者在 2022 年 8 月的四天时间内可以访问其系统。

LastPass 首席执行官 Karim Toubba 在 9 月 15 日致所有 LastPass 客户文章中分享的更新中表示： “没有证据表明任何威胁行为者的活动超出了既定的时间表，没有证据表明此事件涉及对客户数据或加密密码库的任何访问。"

LastPass 在 8 月下旬透露，针对其开发环境的违规行为导致其部分源代码和技术信息被盗，但没有提供进一步的细节。该公司表示，它与事件响应公司 Mandiant 合作完成了对黑客攻击的调查，并表示访问是使用开发人员的受损端点实现的。

后记：一个提供密码解决方案厂商如果被攻击成功，会对其用户带来供应链带来不可预知的冲击。根据其服务的范围与客群，其冲击范围和程度自然也不同。但是，从供应链安全来看，这种从供应链入手的攻击，攻击的覆盖范围自然会比攻击一个用户来的更广泛、更深刻。可谓一点突破，全链瘫痪，也一点不算夸张。更何况，是一个密码解决方案厂商，密码无疑是保护安全的钥匙，也是突破安全的钥匙，这把钥匙保护不好，后果难以想象的。所以，我们的等级保护制度中的密码管理工作，也按部就班有条不紊的开展起来，为保护我们的网络安全和数据安全提供支撑，但是密码掌握在自己手里，才最安心。

原文始发于微信公众号（祺印说信安）：密码解决方案厂家LastPass 的开发系统曾被突破

左青龙
微信扫一扫

右白虎
微信扫一扫

密码解决方案厂家LastPass 的开发系统曾被突破

黑客们正在利用智能冰箱挖矿

朝鲜APT定向攻击韩国半导体行业

Magento漏洞被利用以部署隐藏在XML中的持久后门

黑产工具DCRat深入溯源

GitHub 默认启用推送保护机制以防止信息泄露

AI Safety与AI Security：探索共同点和差异（上）

网传桌面版telegram RCE 0day

如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击？

Google安全负责人谈威胁狩猎

注意 | 声称最安全的编程语言Rust存在严重漏洞，可导致 Windows 命令注入攻击

发表评论

在线咨询

微信