Secondo l’organizzazione, l’hacker che ha appena compromesso LastPass ha vagato per la rete per giorni prima di essere identificato e distrutto. Secondo un post sul blog pubblicato dal CEO del password manager Karim Toubba, l’hacker ha trascorso quattro giorni sulla rete compromessa.
Secondo l’indagine, l’hacker non ha avuto accesso ai dati dei clienti o ai depositi di password crittografati durante quel periodo. ‘Sebbene l’attore della minaccia sia stato in grado di accedere all’ambiente di sviluppo’, ha spiegato Toubba, ‘la progettazione e i controlli del nostro sistema hanno impedito all’attore di accedere ai dati dei clienti o ai depositi di password crittografati’.
L’autore dell’attacco sembra aver ottenuto l’accesso all’ambiente di sviluppo dell’azienda tramite l’endpoint di uno sviluppatore compromesso. Sebbene l’indagine e la scientifica non siano riuscite a scoprire il meccanismo preciso utilizzato per la prima intrusione nell’endpoint, Toubba ha affermato che gli aggressori hanno sfruttato il loro accesso persistente per impersonare lo sviluppatore dopo essersi autenticati con successo con l’autenticazione a più fattori.
LastPass ha anche affermato che non c’erano prove
che l’attore tentasse di iniettare codice dannoso, il che è probabilmente dovuto al fatto che il team Build Release è l’unico in grado di trasferire il codice dallo sviluppo alla produzione. Tuttavia, il codice deve essere ispezionato, testato e convalidato, secondo Toubba. Inoltre, Toubba ha affermato che gli ambienti di sviluppo e produzione di LastPass sono ‘separati fisicamente’.LastPass ha implementato ‘maggiori misure di sicurezza, inclusi nuovi controlli e monitoraggio della sicurezza degli endpoint’, nonché più funzionalità di intelligence sulle minacce e tecnologie avanzate di rilevamento e prevenzione, per garantire che un incidente come questo non si ripeta. Queste tecnologie sono state implementate negli ambienti di sviluppo e produzione.
Alla fine del mese scorso, l’organizzazione ha notato ‘strane attività’, che hanno portato alla scoperta di una violazione della sicurezza. Poiché non c’erano prove che gli hacker avessero accesso ai dati dei clienti o ai depositi di password durante la richiesta iniziale, non è stata necessaria alcuna azione da parte degli utenti finali.