LastPass, le service de gestion de mots de passe en ligne, a subi une deuxième attaque en 2022. En décembre de cette année-là, le service a révélé que des pirates informatiques avaient eu accès à ses coffres-forts de mots de passe cryptés. La société a expliqué que cette deuxième attaque était le résultat d’une cyberattaque soutenue menée par le même acteur malveillant.
LastPass a déclaré qu’un de ses ingénieurs DevOps avait été victime d’un piratage informatique à son domicile et que son ordinateur personnel avait été infecté par un keylogger dans le cadre de cette attaque coordonnée. Les pirates ont ainsi exfiltré des données sensibles des serveurs de stockage cloud Amazon AWS de la société.
« Les pirates ont exploité les informations volées lors du premier incident, des informations disponibles lors d’une violation de données tiers et une vulnérabilité dans un package de logiciels multimédias tiers pour lancer une deuxième attaque coordonnée », a déclaré le service de gestion de mots de passe.
Cette intrusion a ciblé l’infrastructure de l’entreprise, ses ressources et l’un de ses employés entre le 12 août 2022 et le 26 octobre 2022. L’incident initial, quant à lui, s’est terminé le 12 août 2022.
Lors de l’attaque d’août, les pirates ont eu accès au code source et aux informations techniques propriétaires de l’environnement de développement de la société grâce à un seul compte d’employé compromis.
En décembre 2022, LastPass a révélé que les pirates ont exploité les informations volées pour accéder à un environnement de stockage basé sur le cloud et se sont emparés de « certains éléments des informations de nos clients ».
Plus tard dans le même mois, l’auteur de l’attaque a été révélé comme ayant obtenu l’accès à une sauvegarde des données de coffre-fort de clients. LastPass a déclaré que ces données étaient protégées par un chiffrement AES 256 bits, mais n’a pas divulgué la date de la sauvegarde.
GoTo, la société mère de LastPass, a également admis une violation de sécurité le mois dernier, découlant d’un accès non autorisé à un service de stockage cloud tiers.
Selon la société, les pirates ont engagé une nouvelle série d’activités de « reconnaissance, d’énumération et d’exfiltration » visant son service de stockage cloud entre août et octobre 2022.
« En particulier, les pirates ont pu exploiter les informations d’identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage cloud partagé », a déclaré LastPass, ajoutant que l’ingénieur « avait accès aux clés de déchiffrement nécessaires pour accéder au service de stockage cloud ».
Cela a permis à l’acteur malveillant de prendre possession des compartiments AWS S3 qui hébergeaient les sauvegardes des données de coffre-fort et des clients de LastPass, a-t-il encore noté.
Les mots de passe de l’employé auraient été aspirés en ciblant l’ordinateur personnel de l’individu et en exploitant un « package de logiciel multimédia tiers vulnérable » pour exécuter à distance du code et installer un logiciel de keylogger.
« L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé se soit authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps », a déclaré LastPass.
LastPass n’a pas révélé le nom du logiciel multimédia tiers utilisé, mais les indications laissent penser qu’il pourrait s’agir de Plex, étant donné qu’il a subi sa propre violation de données fin août 2022.
Suite à l’incident, LastPass a déclaré avoir renforcé sa posture de sécurité en faisant tourner les informations d’identification critiques et à haut privilège et en réémettant les certificats obtenus par l’acteur de la menace, et avoir appliqué des mesures de durcissement supplémentaires pour mettre en place des mécanismes de journalisation et d’alerte.
Les utilisateurs de LastPass sont vivement encouragés à changer leur mot de passe principal et tous les mots de passe stockés dans leurs coffres-forts pour atténuer les risques potentiels, s’ils ne l’ont pas encore fait.
