Hackers kregen toegang tot ontsleutelde kluis via thuiscomputer van LastPass-medewerker

lastpass

De LastPass-hack van augustus vorig jaar blijkt nog wat uitgebreider te zijn dan we in eerste instantie dachten. Inbrekers gingen niet alleen aan de haal met versleutelde wachtwoordmappen waarin gevoelige informatie zoals gebruikersnamen, wachtwoorden en bijbehorende URL’s bewaard staan. Ze kregen ook toegang tot de thuiscomputer van een Lastpass-medewerker. Op deze manier wisten aanvallers zich een gedecodeerde kluis binnen te werken waar slechts een handvol medewerkers toegang tot had. 

Na de hack in augustus 2022 maakte LastPass initieel duidelijk dat er geen wachtwoorden van klanten buit zijn gemaakt. Eind vorig jaar kwam de wachtwoordmanager daarop terug. Het bedrijf erkende dat aanvallers er tijdens de aanval in augustus aan de haal zijn gegaan met wachtwoordmappen, met daarin gevoelige informatie zoals gebruikersnamen en wachtwoorden met bijbehorende URL’s. Nu blijkt de LastPass-hack nog wat meer voeten in de aarde te hebben. 

Dezelfde aanvaller sloeg opnieuw toe

Hoewel een eerdere inbraak eindigde op 12 augustus, maakt LastPass bekend dat de aanvaller actief bleef tussen 12 augustus en 26 augustus. In deze dagen slaagde de onbekende inbreker erin om werkende inloggegevens te stelen van een senior DevOps engineer. De hacker kreeg dit voor elkaar door gebruik te maken van een kwetsbaarheid in de externe software Plex die stond geïnstalleerd op de thuiscomputer van de medewerker, zo meldt Ars Technica

De gehackte DevOps engineer was een van de slechts vier LastPass medewerkers die toegang had tot de kluis. In deze opslag werden onder andere coderingssleutels voor AWS S3 LastPass backups, andere cloud based inhoud en een aantal belangrijke database backups bewaard. Zodra de aanvaller toegang had, exporteerde hij de inhoud van deze kluis. 

Doordat de werkwijze in het tweede incident sterk verschilt van de manier van werken gedurende de eerste aanval, hadden beveiligingsonderzoekers niet meteen door dat de twee aanvallen gelinkt waren. Gedurende het tweede incident gebruikte de inbreker de informatie die hij via de eerste hack verkreeg om nog verder in te dringen binnen LastPass.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.