Управление комиссара по информации Великобритании (ICO) предписало компании LastPass выплатить штраф в размере 1,2 миллиона фунтов стерлингов (1,6 миллиона долларов) после того, как утечка данных в 2022 году затронула информацию до 1,6 миллиона пользователей из Великобритании.
Комиссар по информации Джон Эдвардс заявил: «Менеджеры паролей являются безопасным и эффективным инструментом для бизнеса и общественности для управления многочисленными данными для входа, и мы продолжаем поощрять их использование. Однако, как ясно из этого инцидента, компании, предлагающие эти услуги, должны обеспечить ограничение доступа к системе и ее использования, чтобы значительно снизить риски атак.
«Клиенты LastPass имели право ожидать, что личная информация, которую они доверили компании, будет храниться в безопасности. Однако компания не оправдала этих ожиданий, что привело к объявлению сегодня пропорционального штрафа».
Эдвардс также заявил, что все британские компании должны знать об этом штрафе и принять собственные меры для обеспечения защиты данных клиентов.
Первый из двух сбоев безопасности произошел, когда злоумышленник получил доступ к рабочему MacBook Pro сотрудника компании-разработчика программного обеспечения, получил доступ к корпоративной среде разработки и связанной технической документации, а также извлек 14 из примерно 200 репозиториев исходного кода LastPass.
Злоумышленник был обнаружен после срабатывания оповещения безопасности AWS, когда он попытался изменить команды управления доступом, которые учетная запись разработчика программного обеспечения не имела права изменять.
Анализ инцидента не смог точно установить, как был скомпрометирован MacBook, поскольку атака совпала с запланированным обновлением macOS, а злоумышленник также использовал методы противодействия криминалистической экспертизе.
Украденный исходный код содержал незашифрованные корпоративные учетные данные и зашифрованные учетные данные, используемые для производственных возможностей, включая резервное копирование данных, как указано в уведомлении о денежном штрафе (MPN) ICO [PDF].
Он также содержал шифрование на стороне сервера с ключом, предоставленным клиентом (SSE-C), используемое для защиты корзин AWS S3, применяемых для резервного копирования производственных баз данных. Злоумышленнику удалось получить этот ключ, но он остался в зашифрованном виде. На данном этапе он не мог им воспользоваться, хотя позже ситуация изменилась, и информация клиентов на тот момент не пострадала.
Второй инцидент произошел днем позже, 12 августа 2022 года, и оказался более значительным. Он включал компрометацию персонального настольного ПК, принадлежащего старшему инженеру DevOps из США — одному из четырех человек, имевших доступ к ключу дешифрования для SSE-C.
ICO заявило, что злоумышленник получил удаленный доступ к этому ПК, используя CVE-2020-5741 (7.2), уязвимость в Plex Media Server, установил кейлоггер для кражи мастер-пароля инженера и сессионный cookie, который он позже использовал для обхода MFA.
Злоумышленник использовал этот доступ для получения ключа доступа AWS LastPass и ключа дешифрования, которые вместе с ключом SSE-C могли быть использованы для загрузки резервной копии базы данных компании.
Были украдены личные данные клиентов, такие как имена, адреса электронной почты, номера телефонов и сохраненные URL-адреса веб-сайтов, хотя по-прежнему нет никаких доказательств того, что их пароли были когда-либо расшифрованы.
Среди украденных данных были более 1,6 миллиона адресов электронной почты и IP-адресов, 248 407 номеров телефонов, 159 809 имен и 118 103 физических адреса.
В MPN указано, что LastPass изначально считала ключ SSE-C безопасным после первой атаки, поскольку ключ дешифрования был защищен хранилищами четырех старших сотрудников службы безопасности.
Даже после смены учетных данных после первой атаки 18 августа LastPass не предполагала, что ключ SSE-C будет скомпрометирован после того, как злоумышленник украл ключ дешифрования 20 августа.
ICO заявило, что штраф был наложен, поскольку LastPass «не смогла внедрить достаточно надежные технические меры и меры безопасности».
Регулятор также считал, что должны были быть приняты разумные организационные меры.
Одним из основных факторов стало то, что политика LastPass во время атак позволяла и активно поощряла старших сотрудников связывать свои личные и рабочие учетные записи, чтобы к ним можно было получить доступ с использованием одного и того же мастер-пароля. Это касалось сотрудников, имевших доступ к конфиденциальным корпоративным данным.
Это означало, что когда настольный компьютер инженера DevOps был взломан через ошибку в Plex, мастер-пароль, используемый для его личных учетных записей, также предоставил злоумышленнику возможность получить доступ к секретам компании LastPass.
Другая организационная недоработка привела к тому, что атака оставалась необнаруженной в течение нескольких месяцев.
AWS обнаружила подозрительную активность — попытки выполнить действия, нетипичные для учетной записи инженера DevOps, — и отправляла оповещения GuardDuty в список рассылки LastPass в период с 15 по 22 октября 2022 года.
Центр оперативного управления безопасностью (SOC) LastPass не получил их до 2 ноября из-за сбоя при переходе компании от своего бывшего материнского предприятия GoTo.
Список рассылки облачной инфраструктуры, который был у AWS, содержал только одного сотрудника LastPass, директора по разработке программного обеспечения, а остальные были сотрудниками GoTo.
Этот устаревший список рассылки и недопонимание между двумя командами, старой и новой, привели к тому, что уведомления AWS не достигли адресата до 18 дней после отправки первого.
Решение ICO оштрафовать LastPass вместо применения менее строгих мер, таких как выговоры или предписания, в значительной степени основывалось на ее снисходительном отношении к использованию личных устройств и связыванию личных и рабочих учетных записей.
В MPN было указано, что, хотя эти проблемы сами по себе могли и не предотвратить вторую атаку, наличие отдельных мастер-паролей для личных и рабочих хранилищ обеспечило бы необходимый дополнительный уровень безопасности между злоумышленником и ключом дешифрования.
Комиссар также отметил, что ему пришлось применять к компании более высокий стандарт заботы, учитывая сферу деятельности, в которой она работает, и свидетельства пострадавших клиентов о страданиях, вызванных атакой.
The Register связался с LastPass для получения дополнительной информации, в том числе о том, планирует ли компания обжаловать штраф. ®
Автор – Connor Jones
