Обновление инцидента безопасности LastPass: рекомендуемые действия

Уважаемые клиенты LastPass!

Хочу поделиться с вами важным обновлением относительно инцидента безопасности, о котором мы сообщили 22 декабря 2022 года. Мы провели исчерпывающее расследование и не заметили никакой активности злоумышленников с 26 октября 2022 года.

В ходе нашего расследования мы узнали гораздо больше о том, что произошло, и сегодня мы представляем новые результаты. В течение того же периода мы вложили значительные усилия в улучшение нашей безопасности и общей операционной безопасности. В этом обновлении я рассмотрю эти меры и выделю дополнительные шаги по безопасности, которые мы предпринимаем.

Это обновление имеет следующую структуру:

  • Что произошло и какие действия мы предприняли?
  • Какие данные были получены?
  • Какие меры следует принимать для защиты себя или своего бизнеса?
  • Что мы сделали, чтобы обеспечить безопасность LastPass
Чего вы можете ожидать от нас Мы имеем привилегию обслуживать миллионы пользователей и более 100 000 компаний, и мы хотим обеспечить, чтобы все наши клиенты имели необходимую информацию, чтобы ответить на свои вопросы. Учитывая объем информации, которую мы сегодня делимся, мы структурировали это обновление с краткими описаниями, включающими ссылки для получения более подробной информации по каждой теме.

Мы услышали и серьезно отнеслись к обратной связи о том, что мы должны были чаще и более всесторонне информировать во время этого процесса. Длительность расследования оставила нас перед сложными компромиссами в этом отношении, но мы понимаем и сожалеем о том, что наши первоначальные коммуникации вызвали разочарование у бизнеса и потребителей, которые полагаются на наши продукты. Представляя эти дополнительные детали сегодня и в нашем подходе в будущем, мы решительно намерены поступать правильно по отношению к нашим клиентам и более эффективно общаться.

Если вы хотите перейти сразу к рекомендациям LastPass по защите вашей учетной записи или вашего бизнеса, пожалуйста, нажмите здесь для потребителей или здесь для администраторов бизнеса.

ЧТО ПРОИЗОШЛО И КАКИЕ МЫ ПРИНЯЛИ МЕРЫ?​


Два инцидента, которые мы раскрыли в прошлом году, затронули LastPass и наших клиентов. Ни один из инцидентов не был вызван дефектом продукта LastPass или несанкционированным доступом или злоупотреблением системами производства. Вместо этого угроза была связана с использованием уязвимости в стороннем программном обеспечении, обходом существующих контролей и в конечном итоге получением доступа к средам не производства - среде разработки и резервному хранилищу.

Мы поделились технической информацией, индикаторами компрометации (IOCs) и тактиками, техниками и процедурами угрозы (TTPs) с правоохранительными органами и нашими партнерами по угрозам и форензике. Однако до сих пор идентичность угрозы и их мотивация остаются неизвестными. Не было никаких контактов или требований, и не было обнаружено никакой достоверной подпольной деятельности, свидетельствующей о том, что угроза активно занимается маркетингом или продажей любой информации, полученной в результате любого из этих инцидентов.

Описание первого инцидента: Корпоративный ноутбук инженера-программиста был скомпрометирован, что позволило злоумышленнику получить доступ к облачной среде разработки и украсть исходный код, техническую информацию и некоторые внутренние секреты системы LastPass. В ходе этого инцидента не были скомпрометированы данные клиентов или данные из хранилища, поскольку в среде разработки таких данных нет. Мы объявили этот инцидент закрытым, но позже выяснили, что информация, украденная в первом инциденте, была использована для выявления целей и запуска второго инцидента.

В ответ на первый инцидент мы мобилизовали наши внутренние команды по безопасности, а также ресурсы от компании Mandiant. В рамках процесса локализации, искоренения и восстановления мы предприняли следующие действия:

  • Удалили среду разработки и создали новую, чтобы обеспечить полное ограничение и искоренение угрозы.
  • Развернули дополнительные технологии и контроли, дополняющие существующие меры безопасности.
  • Сменили все соответствующие открытые пароли, используемые нашими командами и любые обнаруженные сертификаты.
Подробную информацию о первом инциденте и наших мерах по устранению можно найти здесь.

Краткое описание Инцидента 2: В ответ на второй инцидент мы вновь привлекли нашу команду реагирования на инциденты и компанию по кибербезопасности Mandiant. В рамках наших действий по сдерживанию, искоренению и восстановлению, связанных с вторым инцидентом, мы выполнили следующие меры:

  • Проанализировали облачные ресурсы хранения LastPass и применили дополнительные политики и контрольные меры.
  • Изменили секреты и сертификаты, которые могли быть скомпрометированы после атаки.
  • Произвели анализ и изменили существующие контроли доступа с привилегированными правами.
Дополнительные подробности об атаке и наших мерах по устранению можно найти здесь.

К КАКИМ ДАННЫМ БЫЛ ДОСТУП?​

Как указано в сводках инцидентов, злоумышленник украл как собственные данные LastPass, так и данные клиентов, включая следующие:

Сводка данных, к которым был доступ в Инциденте 1:

  • Облачные хранилища разработки и исходного кода по запросу - в том числе 14 из 200 хранилищ программного обеспечения.
  • Внутренние скрипты из репозиториев - они содержали секреты и сертификаты LastPass.
  • Внутренняя документация - техническая информация, описывающая, как работает среда разработки.
Сводка данных, к которым был доступ в Инциденте 2:

  • Секреты DevOps - ограниченные секреты, которые использовались для доступа к нашему облачному хранилищу резервных копий.
  • Облачное хранилище резервных копий - содержало данные конфигурации, секреты API, секреты интеграции сторонних производителей, метаданные клиентов и резервные копии всех данных хранилища клиентов. Все конфиденциальные данные хранилища клиентов, кроме URL-адресов, путей к файлам установленого ПО LastPass для Windows или macOS, а также определенных случаев использования адресов электронной почты, были зашифрованы с использованием нашей модели Zero Knowledge и могут быть расшифрованы только с помощью уникального ключа шифрования, производного от мастер-пароля каждого пользователя. Напомним, что мастер-пароли конечных пользователей никогда неизвестны LastPass и не хранятся или не поддерживаются LastPass, поэтому они не были включены в выведенные данные.
  • Backup базы данных LastPass MFA/Federation содержал копии секретов аутентификации LastPass, телефонные номера, используемые для резервного варианта MFA (если включен), а также разделенный компонент знаний (ключ K2), используемый для федерации LastPass (если включен). Эта база данных была зашифрована, но ключ для расшифровки хранился отдельно и был включен в украденные данные угрозой во время второго инцидента.
Подробную информацию о конкретных данных клиентов, затронутых этими инцидентами, можно найти здесь.


КАКИЕ ДЕЙСТВИЯ СЛЕДУЕТ ПРЕДПРИНЯТЬ, ЧТОБЫ ЗАЩИТИТЬ СЕБЯ ИЛИ СВОЙ БИЗНЕС?​


Чтобы лучше помочь нашим клиентам в их усилиях по реагированию на инциденты, мы подготовили два бюллетеня безопасности - один для наших пользователей Free, Premium и Families, и один настроенный для наших пользователей Business и Teams. Каждый бюллетень безопасности содержит информацию, которая поможет нашим клиентам защитить свой аккаунт LastPass и ответить на эти случаи безопасности таким образом, который, по нашему мнению, соответствует их личным потребностям или профилю их организации в области безопасности.

Бюллетень безопасности: Рекомендуемые действия для пользователей LastPass Free, Premium и Families Этот бюллетень направлен на наших клиентов Free, Premium и Families и содержит руководство по важным настройкам LastPass, которые помогут защитить их аккаунты путем подтверждения соблюдения лучших практик.

Бюллетень безопасности: Рекомендуемые действия для бизнес-пользователей LastPass Этот бюллетень направлен на администраторов наших клиентов Business и Teams и содержит руководство по оценке рисков конфигураций аккаунтов LastPass и сторонних интеграций. Он также содержит информацию, которая актуальна как для нефедеративных, так и для федеративных клиентов.

Если у вас есть вопросы по рекомендуемым действиям, обратитесь в службу технической поддержки или в команду успеха клиента, которые готовы помочь.


ЧТО МЫ СДЕЛАЛИ ДЛЯ БЕЗОПАСНОСТИ LASTPASS​

С момента августа мы внедрили несколько новых технологий безопасности на нашей инфраструктуре, в наших центрах обработки данных и в облачных окружениях, чтобы еще больше улучшить нашу защиту. Большая часть этого была запланирована и была выполнена в рекордно короткие сроки, так как мы начали эти усилия до первого инцидента.

Мы также приоритезировали и начали значительные инвестиции в области безопасности, конфиденциальности и лучших операционных практик. Мы провели всесторонний обзор наших политик безопасности и внесли изменения, чтобы ограничить доступ и привилегии, где это необходимо. Мы провели всеобъемлющий анализ существующих контролов и конфигураций, и мы внесли необходимые изменения, чтобы укрепить существующие среды. Мы также начали работу по расширению использования шифрования в нашем приложении и инфраструктуре резервного копирования. Наконец, мы начали планирование долгосрочных архитектурных инициатив, которые помогут продвинуть нашу эволюцию платформы LastPass.

Вы можете нажать здесь, чтобы увидеть список выполненных работ и работ, которые находятся в нашей дорожной карте безопасности.

ЧТО ВЫ МОЖЕТЕ ОЖИДАТЬ ОТ НАС В ДАЛЬНЕЙШЕМ​


С момента нашей публикации 22 декабря я общался с многими нашими корпоративными и потребительскими клиентами. Я признаю, что наши клиенты чувствуют разочарование из-за нашей неспособности своевременно, более четко и всесторонне общаться в ходе этого события. Я принимаю критику и полностью несу ответственность. Мы многому научились и обязуемся вести более эффективную коммуникацию в будущем. Сегодняшнее обновление - демонстрация нашей приверженности этому.

Немного более года назад GoTo и ее инвесторы объявили, что LastPass станет независимой компанией с новой командой руководства. Наша цель - раскрыть полный потенциал компании и выполнить обещание создания ведущей платформы управления паролями предприятия. В конце апреля 2022 года я присоединился в качестве генерального директора, чтобы помочь руководить этим процессом.

За последние восемь месяцев мы наняли новых лидеров, которые помогут продвинуть рост компании и выполнить новую стратегию. Наша новая команда включает в себя признанных ветеранов и лидеров отрасли безопасности и технологий. В рамках следующей фазы развития компании мы выделили многомиллионный бюджет на улучшение наших инвестиций в области безопасности среди людей, процессов и технологий. Эта инвестиция подтверждает наше обязательство превратить LastPass в ведущую кибербезопасную компанию и обеспечить, чтобы мы были в состоянии защитить себя и наших клиентов от будущих угроз.

Спасибо за ваше понимание, помощь и постоянную поддержку.

Карим Тубба Генеральный директор, LastPass
 
Назад
Сверху Снизу