LastPass підтверджує викриття даних клієнтів у результаті атаки на ланцюг постачання Klue

LastPass підтвердив витік даних, спричинений атакою на ланцюг постачання через стороннього постачальника Klue. Хакери викрали токени OAuth із середовища Klue, що дало їм доступ до інстансу Salesforce компанії LastPass. Звідти зловмисники змогли витягти дані звернень до служби підтримки, включаючи імена, номери телефонів, адреси електронної пошти та фізичні адреси. Позитивна новина, принаймні наразі, полягає в тому, що зашифровані сховища паролів, схоже, не були скомпрометовані.

Це не перший серйозний інцидент безпеки для LastPass. У 2022 році компанія зазнала значного зламу, в результаті якого хакери отримали копії зашифрованих сховищ паролів клієнтів. Той інцидент викликав широку критику та спричинив хвилю переходу користувачів до конкуруючих менеджерів паролів. Цей новий витік, хоча й вужчий за масштабом, є нагадуванням, що навіть якщо основний продукт компанії залишається захищеним, навколишня інфраструктура може стати вектором атаки.

Як сторонній постачальник став слабкою ланкою

Механізм цього зламу слідує добре задокументованій моделі сучасних атак на ланцюги постачання. Klue, платформу конкурентної розвідки, якою користується LastPass, було скомпрометовано першою. Зловмисники викрали токени OAuth – по суті цифрові ключі, які дозволяють одній службі автентифікуватися в іншій без необхідності введення пароля. Маючи ці токени, зловмисники змогли отримати доступ до середовища Salesforce компанії LastPass так, ніби вони були легітимною, авторизованою системою.

У цьому полягає фундаментальна проблема атак на ланцюг постачання: ваша власна безпекова позиція може бути сильною, але кожен постачальник, якому ви надаєте доступ, стає частиною вашої поверхні атаки. Викрадення токенів OAuth означало, що захист самої LastPass був значною мірою обійдений. Зловмиснику не потрібно було зламувати LastPass безпосередньо; він знайшов бічний вхід через довіреного партнера.

Для користувачів безпосереднім наслідком є витік особистої контактної інформації, а не паролів. Ці дані все ще цінні для зловмисників. Імена, номери телефонів та адреси електронної пошти можуть бути використані для фішингових кампаній, спроб підміни SIM-картки та атак із використанням соціальної інженерії, що в кінцевому підсумку може призвести до захоплення облікових записів.

Чому менеджери паролів самі по собі не є повним захистом

Цей витік ілюструє щось важливе: менеджер паролів захищає ваші облікові дані, але він не захищає всю інформацію про вас як користувача. Дані, які були викриті тут – контактна інформація та історія звернень до підтримки – існують поза межами зашифрованого сховища. Вони знаходяться в системах управління взаємовідносинами з клієнтами, платформах тікетів підтримки та маркетингових інструментах, які часто пов'язані з десятками сторонніх постачальників.

Для користувачів, які дбають про приватність, це вказує на цінність багаторівневого захисту. Двофакторна автентифікація (2FA) – це найшвидше покращення, яке кожен може зробити. Навіть якщо зловмисник отримає вашу адресу електронної пошти і спробує використати її для скидання облікових даних в іншому місці, 2FA створює значущий бар'єр. Використання додатка-автентифікатора замість SMS-кодів для 2FA значно надійніше, оскільки номери телефонів, викриті в цьому зламі, теоретично можуть бути використані в атаках з підміною SIM-картки.

VPN додає окремий рівень захисту, маскуючи вашу IP-адресу та шифруючи ваш інтернет-трафік на мережевому рівні, зменшуючи вашу вразливість при використанні публічних або ненадійних мереж, де перехоплення облікових даних більш імовірне. Оцінюючи VPN-провайдерів, шукайте політики відсутності логів, перевірені незалежним аудитом; такі сервіси, як CyberGhost та Surfshark, пройшли аудит відсутності логів, проведений Deloitte, що дає користувачам перевірену третьою стороною основу для довіри до їхніх заяв про конфіденційність.

Ширший висновок полягає в тому, що глибокий захист має значення. Менеджер паролів захищає ваші облікові дані. 2FA захищає ваші акаунти, навіть якщо облікові дані витікають. VPN обмежує вразливість на мережевому рівні. Жоден окремий інструмент не покриває всі загрози.

Що це означає для вас

Якщо ви є клієнтом LastPass, ваше зашифроване сховище паролів, згідно з розкритою компанією інформацією, ймовірно, в безпеці. Однак ваша контактна інформація, включно з іменем, номером телефону, електронною поштою та фізичною адресою, може бути в руках зловмисників. Ці дані мають реальні наслідки.

Будьте пильними щодо фішингових листів, які посилаються на ваш акаунт LastPass або історію звернень до підтримки, оскільки тепер зловмисники мають достатньо деталей для створення переконливих повідомлень. Не натискайте на посилання в небажаних листах, які нібито надійшли від LastPass. Переходьте безпосередньо на веб-сайт або в додаток LastPass, якщо вам потрібно вжити будь-яких дій.

Якщо ваш номер телефону був серед викритих даних, зв'яжіться зі своїм мобільним оператором, щоб додати PIN-код або пароль для захисту від підміни SIM-картки. Це крок, про який багато хто забуває, поки не стає надто пізно.

Практичні поради:

  • Увімкніть 2FA у вашому акаунті LastPass та будь-яких інших важливих акаунтах негайно, бажано використовуючи додаток-автентифікатор, а не SMS.
  • Ставтеся скептично до будь-яких небажаних контактів, які посилаються на ваш акаунт LastPass, електронною поштою, телефоном або в текстових повідомленнях.
  • Зв'яжіться з мобільним оператором, щоб додати SIM-блокування або PIN-код до акаунта, якщо ваш номер телефону було викрито.
  • Перегляньте, які сторонні сервіси мають доступ до ваших акаунтів, і відкличте токени OAuth або підключені додатки, які ви більше не використовуєте.
  • Розгляньте можливість використання VPN у публічних мережах, щоб зменшити вразливість на мережевому рівні, особливо при доступі до чутливих облікових записів.

Злам LastPass через Klue є хрестоматійним прикладом того, чому сучасне середовище загроз вимагає численних перекривних заходів захисту. Жоден окремий продукт чи постачальник не є повністю захищеним від зламу, але користувачі, які вибудовують багаторівневий захист, стають значно складнішими для експлуатації.