Attacco a LastPass: rivelati i dettagli del doppio data breach

LastPass ha rivelato i dettagli sulla seconda violazione di sicurezza subita lo scorso anno. È avvenuto ad ottobre, dopo il primo attacco di agosto, e ha consentito ai cybercriminali di entrare in possesso delle chiavi per l'accesso al cloud storage aziendale che custodiva i dati degli utenti.

LastPass, infatti, è un servizio molto delicato perché usato dagli utenti per la gestione delle loro password personali per il web. Nello scorso anno è stato preso di mira a più riprese e ora l'azienda, anche per recuperare la sua reputazione, sta divulgando le modalità con cui è avvenuto l'attacco, come segno che è consapevole delle proprie mancanze e pronta a porre rimedio.

Per l'attacco di ottobre, sono state utilizzate credenziali ottenute con il primo data breach di agosto (anche in quel caso era stato violato un servizio di cloud storage). I cyber criminali hanno ottenuto l'accesso alle risorse cifrate contenute nel bucket S3 prima che la sicurezza di Lastpass riuscisse ad effettuare il reset. Tutto è partito dall'installazione di un keylogger nel PC di un dipendente di LastPass sfruttando una vulnerabilità di un software multimediale, che pare essere stato identificato in Plex.

Attraverso il keylogger, è stato possibile sottrarre all'ingegnere proprietario del PC le sue password personali, tra cui la master password per accedere al corporate vault con le chiavi per decifrare il contenuto del bucket e accedere al servizio di cloud storage AWS S3.

Per due mesi, gli attaccanti avrebbero goduto della possibilità di entrare a piacimento nel database di LastPass e sarebbero riusciti a trafugare una mole enorme di dati. Il caso evidenzia l'importanza che riveste per le aziende che custodiscono dati così tanto sensibili il monitoraggio continuo e la difesa del perimetro di sicurezza. Tutti i dettagli si trovano nell'analisi pubblicata da LastPass.