LastPass員工家中電腦被駭致外洩公司關鍵系統登入憑證

本周稍早LastPass說明去年8月一連串被駭事件的調查結果，顯示禍首是高階員工家中電腦被駭，導致該公司系統登入憑證外洩。

去年8月密碼管理服務商LastPass公司網路遭駭客竊走部份技術資訊及程式碼，引發了11月用戶密碼儲存庫的駭入事件。而在安全廠商Mandiant的協助下，LastPass本周公布了整起事件始末。

LastPass指出，第一次事件在8月12日結束，但駭客利用這次取得的資訊，從8月12日到10月26日進行一連串的偵察、列舉及資料外洩行動，以入侵LastPass的雲端儲存環境。這個位於AWS S3的儲存環境即儲存了LastPass客戶檔案備份，包括公司名稱、電子郵件、IP位址、密碼及加密儲存庫資料，廠商於今年1月證實已外洩。

這個資源原本具有加密防護，包括AWS S3-SSE、S3-KMS或S3-SSE-C技術加密防護，要存取這個bucket，攻擊者必須具備AWS存取金鑰及LastPass產生的解密金鑰。而為了取得這些金鑰，攻擊者策畫了階段性攻擊行動。

在第一次事件中，駭客先是鎖定4位擁有解密金鑰的DevOps工程師，結果有一位被成功入侵。攻擊者是利用這位資深工程師家中電腦中一個第三方媒體軟體套件的漏洞，進行遠端程式碼攻擊，在電腦中植入了鍵盤側錄程式。攻擊者在這名員工登入DevOps系統驗證MFA時，成功截取到主密碼，即成功存取該DevOps員工的LastPass密碼儲存庫（vault）。

接著駭客將原生的密碼儲存庫內容及共享資料夾的內容匯出。這個共享資料夾內含的加密記事中，則有存取AWS S3上LastPass營運環境備份、雲端儲存資源及一些關鍵資料庫備份的登入憑證和解密金鑰。當然也包含了客戶密碼備份及加密金鑰。最後，駭客因使用雲端身分及存取管理（Identity and Access Management，IAM）進行非授權活動，觸發了AWS系統通報，才讓LastPass第一次得知駭入事件。

在得知駭入事件後，除了展開調查，LastPass的回應措施還包括啟動以微軟Authenticator的條件式存取PIN比對多因素驗證（PIN-matching）、輪換關鍵及高權限的登入憑證、撤銷且再發放憑證。

不過，就算LastPass再怎麼解釋也平息不了客戶的怒火。已經有一群用戶因這起資料外洩案，今年1月對該公司提起集體訴訟。