I augusti 2022 utsattes Lastpass, en av världens största molnbaserade lösenordshanterare, för ett dataintrång. En illasinnad aktör hade lyckats komma över lösenord tillhörande en anställd på bolaget och därigenom lagt beslag på källkod och teknisk dokumentation.
I december samma år skedde sedan ännu ett allvarligt intrång, där både backups av databaser och användardata hamnade på avvägar. Nu klargör Lastpass ytterligare detaljer, där det framgår att de två incidenterna bedöms hör samman och att allt har sin grund i ett intrång hos en anställds dator i hemmet.
This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.
Aktören ska ha riktat in sig särskilt på en av fyra utvecklare med tillgång till de krypteringsnycklar som behövdes för att få åtkomst till bolagets molnservice. Sedan utnyttjades ett säkerhetshål i en tredjepartstjänst på personens privata dator för att installera en keylogger och på så vis snappa upp den anställdes huvudlösenord.
Enligt en källa till Ars Technica ska den onämnda mjukvaran ha varit mediatjänsten Plex, som används för att bland annat strömma filmer, musik och spel. Intressant i sammanhanget är att Plex också utsattes för ett intrång i augusti 2022 – något som meddelades bara ett par dagar innan Lastpass informerade om sin. Där kom externa aktörer över både e-postadresser, användarnamn samt krypterade lösenord. Varken Plex eller Lastpass har kommenterat uppgifterna i nuläget.
