Новий витік даних у LastPass: хакери знову отримали доступ до інформації користувачів

Як стався злам?

Популярний менеджер паролів LastPass знову опинився в центрі безпекового інциденту. Цього разу хакери дісталися до контактних даних та історії звернень клієнтів, зламавши не саму компанію, а її стороннього підрядника – платформу конкурентної розвідки Klue. Про це повідомляє портал Android Authority.

Дивіться також Хакер без досвіду зламав 14 компаній за допомогою штучного інтелекту 

Внутрішня служба безпеки LastPass виявила несанкціонований доступ ще 12 червня. Як з'ясувалося, зловмисники використали застарілі облікові дані для інтеграції на серверах Klue та викрали токени OAuth.

OAuth-токен – це тимчасова цифрова перепустка. Замість передачі логіна й пароля система видає сторонньому сервісу цей "бейдж" із обмеженими правами. Хакери викрали ці перепустки та проникли в корпоративні системи Salesforce та Gong, які використовує LastPass.

Команда безпеки Salesforce оперативно заблокувала шкідливий доступ і примусово розірвала з'єднання з додатком Klue. Це підтверджує, що проблема полягала саме у сторонньому сервісі, а не у вразливості самої CRM-системи.

Хто стоїть за атакою та хто ще постраждав?

Відповідальність за злам платформи Klue взяло на себе хакерське угруповання Icarus, про що пише BleepingComputer. Зловмисники вже вимагають викуп і погрожують оприлюднити викрадені дані у разі несплати.

LastPass – далеко не єдина жертва цієї атаки на ланцюжок постачання. Як повідомляє TechCrunch, хакери також зачепили низку інших відомих технологічних та безпекових компаній:

• HackerOne;
• Recorded Future;
• Tanium;
• Jamf;
• Sprout Social;
• Gong;
• Insurity.

Які дані опинилися в руках хакерів?

Завдяки викраденим токенам зловмисники змогли витягти конфіденційну інформацію клієнтів. Серед скомпрометованих даних опинилися:

• імена та фізичні адреси клієнтів;
• адреси електронної пошти та номери телефонів;
• записи звернень до служби підтримки;
• інформація, пов'язана з продажами.

Власна інфраструктура LastPass не постраждала. Сховища паролів, зашифровані облікові дані та ключові сервіси залишилися недоторканими. Проте масштаб сервісу вражає: станом на 2024 рік LastPass мав понад 33 мільйони користувачів і близько 1,6 мільйона платних клієнтів.

Попередні інциденти LastPass

Цей випадок поповнив серію гучних витоків даних компанії, про які нагадує видання 9to5Mac:

• У 2015 році хакери отримали доступ до електронних адрес користувачів, нагадувань паролів, хешів автентифікації та іншого.
• У 2022 році відбувся значно серйозніший злам. Зловмисники викрали початковий код і хмарні бекапи із зашифрованими сховищами паролів. Це дозволило їм підбирати паролі в офлайн-режимі та призвело до серії крадіжок криптовалюти.

Як захиститися та на що звернути увагу?

Для звичайних користувачів LastPass цей інцидент означає, що змінювати збережені паролі у сховищах наразі не потрібно. Проте ситуація вимагає підвищеної пильності. Маючи на руках контакти та історію звернень до техпідтримки, хакери можуть організувати переконливі фішингові атаки.

Компанія закликає користувачів звертати увагу на підозрілу активність. Хакери можуть використовувати такі домени для фішингових розсилок:

• baccarat.com.au
• robinskitchen.com.au
• house.com.au

Також зафіксовано IP-адреси, пов'язані зі зловмисниками: 138.226.246.94, 94.154.32.160, 159.183.215.61, 159.183.181.239. Будьте обережними та не переходьте за підозрілими посиланнями.