LastPass ha fornito ulteriori dettagli sull’attacco subito a dicembre che ha permesso ai cybercriminali di accedere al servizio di cloud storage in cui sono conservati i dati degli utenti. La software house ha svelato che sono state sfruttate le informazioni rubate con l’attacco di agosto, le informazioni ottenute da un data breach di terze parti e la vulnerabilità di un software multimediale.
LastPass: attacco coordinato e complesso
LastPass spiega che inizialmente non era stata individuata una correlazione tra i due attacchi. Durante l’indagine, la software house ha scoperto che lo stesso autore ha utilizzato le informazioni ottenute con l’intrusione di agosto per rubare i dati dalle risorse del cloud storage.
In dettaglio, i cybercriminali hanno rubato le credenziali di login dal computer personale di un ingegnere che era in possesso della chiave necessaria per accedere al servizio di cloud storage (AWS S3). Ciò è avvenuto con l’installazione di un keylogger, sfruttando una vulnerabilità di un software multimediale. LastPass non specifica il nome, ma secondo Ars Technica si tratta di Plex.
Dopo aver intercettato la master password, i cybercriminali hanno avuto accesso al vault aziendale dell’ingegnere in cui era memorizzata la chiave necessaria per l’accesso ai backup su AWS S3. LastPass ha successivamente implementato diverse misure di sicurezza, ma le intrusioni effettuate hanno permesso di ottenere una quantità enorme di dati, tra cui quelli degli utenti, come si può leggere nella pagina dedicata. Il report completo è disponibile in PDF.