LastPass потвърждава излагане на клиентски данни при атака по веригата на доставки чрез Klue

LastPass потвърди пробив в данните, произтичащ от атака по веригата на доставки срещу Klue, доставчик трета страна. Хакери откраднаха OAuth токени от средата на Klue, което им даде достъп до инстанцията на Salesforce на LastPass. Оттам нападателите успяха да извлекат данни от заявки за поддръжка на клиенти, включително имена, телефонни номера, имейл адреси и физически адреси. Добрата новина, поне засега, е, че шифрованите трезори за пароли изглежда не са компрометирани.

Това не е първият сериозен инцидент със сигурността за LastPass. Компанията претърпя значителен пробив през 2022 г., при който хакери получиха копия на шифровани клиентски трезори за пароли. Този инцидент предизвика широко критикуване и предизвика вълна от мигриращи потребители към конкурентни мениджъри на пароли. Този нов пробив, макар и с по-ограничен обхват, напомня, че дори когато основният продукт на компанията остава защитен, заобикалящата инфраструктура може да се превърне в атакуващ вектор.

Как доставчик трета страна стана слабото звено

Механиката на този пробив следва добре документиран модел при съвременните атаки по веригата на доставки. Klue, платформа за конкурентно разузнаване, използвана от LastPass, бе компрометирана първа. Нападателите откраднаха OAuth токени – по същество цифрови ключове, които позволяват на една услуга да се удостовери пред друга, без да изисква парола. С тези токени в ръка нападателите успяха да получат достъп до средата Salesforce на LastPass, сякаш са легитимна, оторизирана система.

Това е основният проблем с атаките по веригата на доставки: вашата собствена позиция по сигурността може да е силна, но всеки доставчик, на когото предоставите достъп, става част от вашата атакуваща повърхност. Кражбата на OAuth токени означаваше, че собствените защити на LastPass бяха до голяма степен заобиколени. Нападателят не трябваше да разбива LastPass директно; намери странична врата чрез доверен партньор.

За потребителите непосредственото излагане е на лична информация за контакт, а не на пароли. Тези данни все още са ценни за нападателите. Имена, телефонни номера и имейл адреси могат да се използват за фишинг кампании, опити за подмяна на SIM карта и атаки със социално инженерство, които в крайна сметка могат да доведат до превземане на акаунти.

Защо мениджърите на пароли сами по себе си не са пълна защита

Този пробив илюстрира нещо важно: мениджърът на пароли защитава вашите идентификационни данни, но не защитава всичко за вас като потребител. Данните, изложени тук – информация за контакт и история на заявки за поддръжка – съществуват извън шифрования трезор. Те се намират в системи за управление на взаимоотношенията с клиенти, платформи за билети за поддръжка и маркетингови инструменти, които често са свързани с десетки доставчици трети страни.

За потребителите, които държат на поверителността, това сочи към стойността на наслояването на защити. Двуфакторното удостоверяване (2FA) е най-незабавното подобрение, което всеки може да направи. Дори ако нападател получи вашия имейл адрес и се опита да го използва, за да нулира идентификационни данни за акаунт другаде, 2FA създава значима бариера. Използването на приложение за удостоверяване, вместо базирано на SMS 2FA, е значително по-силно, тъй като телефонните номера, изложени в този пробив, теоретично биха могли да се използват при атаки с подмяна на SIM.

VPN добавя отделен слой, като маскира вашия IP адрес и криптира интернет трафика ви на мрежово ниво, намалявайки излагането ви, когато използвате обществени или ненадеждни мрежи, където прихващането на идентификационни данни е по-осъществимо. Когато оценявате доставчици на VPN, търсете независимо одитирани политики за липса на логове; услуги като CyberGhost и Surfshark са преминали през одити за липса на логове, проведени от Deloitte, което дава на потребителите проверена от трета страна основа да се доверят на техните твърдения за поверителност.

По-широкият извод е, че отбраната в дълбочина има значение. Мениджърът на пароли защитава вашите идентификационни данни. 2FA защитава вашите акаунти, дори ако идентификационните данни изтекат. VPN ограничава излагането на мрежово ниво. Нито един инструмент не покрива всяка заплаха.

Какво означава това за вас

Ако сте клиент на LastPass, вашият шифрован трезор за пароли изглежда безопасен въз основа на това, което компанията е разкрила. Въпреки това, вашата информация за контакт, включително име, телефонен номер, имейл и физически адрес, може да бъде в ръцете на нападатели. Тези данни имат реални последици.

Бъдете нащрек за фишинг имейли, които споменават вашия акаунт в LastPass или история на поддръжка, тъй като нападателите сега разполагат с достатъчно подробности, за да изготвят убедителни съобщения. Не кликвайте върху връзки в непоискани имейли, които твърдят, че са от LastPass. Отидете директно на уебсайта или приложението на LastPass, ако трябва да предприемете някакво действие.

Ако телефонният ви номер е бил част от изложените данни, свържете се с мобилния си оператор, за да добавите PIN код или парола към акаунта си, за да се предпазите от подмяна на SIM карта. Това е стъпка, която много хора пренебрегват, докато не стане твърде късно.

Практически изводи:

  • Активирайте незабавно двуфакторно удостоверяване (2FA) на вашия акаунт в LastPass и на всеки друг високорисков акаунт, за предпочитане чрез приложение за удостоверяване, а не чрез SMS.
  • Бъдете скептични към всякакъв непоискан контакт, който споменава вашия акаунт в LastPass, независимо дали по имейл, телефон или текстово съобщение.
  • Свържете се с мобилния си оператор, за да добавите SIM заключване или ПИН код на акаунта, ако телефонният ви номер е бил изложен.
  • Прегледайте кои услуги на трети страни имат достъп до вашите акаунти и отменете OAuth токени или свързани приложения, които вече не използвате.
  • Обмислете използването на VPN в обществени мрежи, за да намалите излагането на мрежово ниво, особено при достъп до чувствителни акаунти.

Пробивът на LastPass чрез Klue е христоматиен пример защо съвременната среда на заплахи изисква множество припокриващи се защити. Нито един продукт или доставчик не е защитен от пробиви, но потребителите, които наслояват защитите си, са значително по-трудни за експлоатиране.