No mais recente capítulo da invasão à LastPass, a empresa afirmou que os Hackers acessaram os sistemas da LastPass por quatro dias.
A LastPass diz que o invasor por trás da violação de segurança de agosto teve acesso interno aos sistemas da empresa por quatro dias até ser detectado e despejado.
Hackers acessaram os sistemas da LastPass por quatro dias
Em uma atualização da notificação de incidente de segurança publicada no mês passado, o CEO da Lastpass, Karim Toubba, também disse que a investigação da empresa (realizada em parceria com a empresa de segurança cibernética Mandiant) não encontrou evidências de que o agente da ameaça acessou dados de clientes ou cofres de senhas criptografadas.
“Embora o agente da ameaça pudesse acessar o ambiente de desenvolvimento, o design e os controles do nosso sistema impediram que o agente da ameaça acessasse qualquer dado do cliente ou cofres de senha criptografados”, disse Toubba.
Embora seja o método pelo qual o invasor foi capaz de comprometer o endpoint de um desenvolvedor do Lastpass para acessar o ambiente de desenvolvimento, a investigação descobriu que o agente da ameaça conseguiu se passar pelo desenvolvedor depois que ele “se autenticou com sucesso usando a autenticação multifator”.
Depois de analisar o código-fonte e as compilações de produção, a empresa também não encontrou evidências de que o invasor tenha tentado injetar código malicioso.
Isso provavelmente ocorre porque apenas a equipe de lançamento de compilação pode enviar código do desenvolvimento para a produção e, mesmo assim, Toubba disse que o processo envolve etapas de revisão, teste e validação de código.
Além disso, ele acrescentou que o ambiente de desenvolvimento do LastPass é “fisicamente separado e não tem conectividade direta com” o ambiente de produção do Lastpass.
Após o incidente, o Lastpass “implantou controles de segurança aprimorados, incluindo controles e monitoramento de segurança de endpoint adicionais”, bem como recursos adicionais de inteligência de ameaças e tecnologias aprimoradas de detecção e prevenção nos ambientes de desenvolvimento e produção.
Esta atualização ocorre depois que o Lastpass notificou os usuários em 25 de agosto de que “detectou recentemente algumas atividades incomuns” em seu ambiente de desenvolvimento.
A divulgação ocorreu depois que o site BleepingComputer soube da violação por insiders uma semana antes e entrou em contato com a empresa em 21 de agosto sem receber uma resposta a perguntas e solicitações para confirmar o incidente.
Na carta enviada aos clientes após os e-mails do site BleepingComputer, o Lastpass confirmou que foi hackeado duas semanas antes e que os invasores roubaram algum código-fonte e informações técnicas proprietárias.
“Duas semanas atrás, detectamos alguma atividade incomum em partes do ambiente de desenvolvimento do LastPass.”, disse a empresa na época.
“Depois de iniciar uma investigação imediata, não vimos evidências de que este incidente envolvesse qualquer acesso a dados de clientes ou cofres de senhas criptografadas”.
O LastPass fornece um dos softwares de gerenciamento de senhas mais populares do mundo, com a empresa afirmando que é usado por mais de 33 milhões de pessoas e 100.000 empresas.
