โซลูชันการจัดการรหัสผ่าน LastPass ได้แบ่งปันรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์ด้านความปลอดภัยเมื่อเดือนที่แล้ว โดยเปิดเผยว่าผู้คุกคามสามารถเข้าถึงระบบของตนได้เป็นระยะเวลาสี่วันในเดือนสิงหาคม 2022
Karim Toubba CEO ของ LastPass กล่าวในการอัพเดทที่แชร์เมื่อวันที่ 15 กันยายนว่า “ไม่มีหลักฐานของกิจกรรมผู้คุกคามใด ๆ ที่นอกเหนือจากไทม์ไลน์ที่กำหนด” และเสริมว่า “ไม่มีหลักฐานว่าเหตุการณ์นี้เกี่ยวข้องกับการเข้าถึงข้อมูลลูกค้าหรือห้องนิรภัยรหัสผ่านที่เข้ารหัส “
LastPass เมื่อปลายเดือนสิงหาคมเปิดเผยว่าการละเมิดที่กำหนดเป้าหมายสภาพแวดล้อมการพัฒนาส่งผลให้มีการขโมยซอร์สโค้ดและข้อมูลทางเทคนิคบางส่วน แม้ว่าจะไม่มีการเสนอข้อมูลเฉพาะเพิ่มเติมก็ตาม
บริษัท ซึ่งกล่าวว่าได้เสร็จสิ้นการสอบสวนการแฮ็กโดยร่วมมือกับ บริษัท ตอบโต้เหตุการณ์ Mandiant กล่าวว่าการเข้าถึงทำได้โดยใช้จุดปลายที่ถูกบุกรุกของนักพัฒนา
ในขณะที่วิธีการเริ่มต้นที่แน่นอนยังคง “ไม่สามารถสรุปได้” LastPass ตั้งข้อสังเกตว่าฝ่ายตรงข้ามใช้การเข้าถึงแบบถาวรเพื่อ “แอบอ้างเป็นนักพัฒนา” หลังจากที่เหยื่อได้รับการรับรองโดยใช้การรับรองความถูกต้องแบบหลายปัจจัย
บริษัทย้ำว่าแม้จะมีการเข้าถึงโดยไม่ได้รับอนุญาต ผู้โจมตีล้มเหลวในการรับข้อมูลลูกค้าที่มีความละเอียดอ่อน อันเนื่องมาจากการออกแบบระบบและไม่มีการควบคุมความน่าเชื่อถือที่วางไว้เพื่อป้องกันเหตุการณ์ดังกล่าว
ซึ่งรวมถึงการแยกสภาพแวดล้อมการพัฒนาและการผลิตโดยสิ้นเชิง และการไม่สามารถเข้าถึงห้องเก็บรหัสผ่านของลูกค้าเองได้โดยไม่ต้องใช้รหัสผ่านหลักที่ผู้ใช้ตั้งไว้
“หากไม่มีรหัสผ่านหลัก เป็นไปไม่ได้ที่ใครอื่นนอกจากเจ้าของห้องนิรภัยจะถอดรหัสข้อมูลของห้องนิรภัย” Toubba ชี้ให้เห็น
นอกจากนี้ ยังระบุด้วยว่าได้ทำการตรวจสอบความสมบูรณ์ของซอร์สโค้ดเพื่อค้นหาสัญญาณของการเป็นพิษ และนักพัฒนาไม่มีสิทธิ์ที่จำเป็นในการส่งซอร์สโค้ดโดยตรงจากสภาพแวดล้อมการพัฒนาไปสู่การผลิต
สุดท้ายแต่ไม่ท้ายสุด LastPass ตั้งข้อสังเกตว่าได้ว่าจ้างบริการของบริษัทรักษาความปลอดภัยในโลกไซเบอร์ “ชั้นนำ” เพื่อปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยของซอร์สโค้ด และได้ติดตั้งอุปกรณ์ป้องกันความปลอดภัยปลายทางเพิ่มเติมเพื่อตรวจจับและป้องกันการโจมตีที่มุ่งเป้าไปที่ระบบได้ดียิ่งขึ้น
