Újabb részleteket közölt a LastPass a múlt évi súlyos incidenséről. Egy vezető DevOps mérnök gépén keresztül jutottak be a hekkerek.

Tavaly a Bitport is foglalkozott vele, hogy súlyos támadás érte a LastPass rendszerét. A hekkerek két hullámban jutottak házon belülre. A vállalat most újabb részleteket közölt az incidensről.

Mint a DevClass írja, egy vezető DevOps mérnöktől lopták azokat az érvényes hitelesítő adatokat, melyekkel hozzáfértek egy megosztott felhős környezethez.

Alkalmazásszinten keveredett magánélet és munka

A támadók a mérnök otthoni számítógépét vették célba, amelybe egy harmadik féltől származó médiaszoftver távoli kódfuttatást lehetővé tevő sérülékenységét kihasználva jutottak be. A gépre keyloggert (billentyűlenyomásokat rögzítő program) telepítettek, amivel megszerezték a mérnök mesterjelszavát – annak birtokában pedig simán hozzáfértek LastPass-os vállalati trezorjához.

Tudták, kit kell támadni: a célszemély egyike volt annak a négy DevOps mérnöknek, akik hozzáfértek azokhoz a dekódoló kulcsokhoz, amelyekkel be lehetett lépni egy biztonságkritikus felhőalapú tárhelyszolgáltatásba. Olyan adatok szivárogtak ki így, mint a LastPass AWS S3-on tárolt éles biztonsági mentéseinek hozzáférési és visszafejtési kulcsai.

A hekkerek először 2022 augusztus első felében (8-12. között) egy kompromittált fejlesztői fiókon keresztül hajtottak végre támadást. Az azonban csak arra szolgált, hogy egy majdani, nagyobb támadáshoz szerezzenek muníciót. Az ott szerzett adatokkal törték fel a DevOps mérnök gépét is. Érdekes egybeesés, bár szerencsétlen véletlen is lehet, hogy a mérnök gépén megtört médiaszoftver, a Plex szervereiről a második támadás indulása (augusztus 12.) után 12 nappal legalább 15 millió felhasználó adatait lopták el.

És hogy mi köze mindehhez a DevOps-nak? A hekkerek mindkét támadási körnél egy kompromittált fejlesztői fiókon keresztül jutottak be a LastPass rendszerébe. De miért történhetett meg ez? A kérdésre voltaképpen újabb kérdéssel lehet válaszolni. Miért futott távoli hozzáférést is lehetővé tevő sebezhető konzumer médiaszoftver egy olyan otthoni számítógépen, amelyet biztonságkritikus funkciókra (tudniillik több millió ügyfél hitelesítő adatainak védelme) is használtak?

Sok mindent újra kell gondolni

A távmunka népszerű, különösen a fejlesztők között. De a LastPass-incidens komoly kétségeket vet fel azzal kapcsolatban, hogy ez fenntartható-e bizonyos munkakörökben. Mert annak mindig van esélye, hogy vagy a szabályzatban, vagy annak gyakorlati alkalmazásában, esetleg mindkettőben lesznek lyukak. Daniel Cuthbert, az OWASP Application Security Verification Standard társszerzője, aki nem mellesleg a brit kormány kiberbiztonsági tanácsadó testületének tagja, a Twitteren úgy fogalmazott, hogy az eset sok kérdést vet fel az otthoni munkavégzéssel, de még a hálózattervezéssel kapcsolatban is.

Clemens Vasters, a Microsoft eseménykezelésért felelős vezető architektje, szerint az ilyen eesetek csak egyféleképpen védhetők ki: olyan automatizált menedzsment-csatornák alkalmazásával, amelyeknél a kritikus titkokat csak maga a rendszer ismeri, azokhoz ember soha, semmilyen módon nem férhet hozzá.

A DevClass felveti annak a fontosságát is, hogy a fejlesztői környezetek szigorúan szeparálni kell az éles környezettől, és a fejlesztőket kötelezni kell arra, hogy csak és kizárólag védett hálózatokon dolgozzanak.

Biztonság

Big4-tanácsadó lesz a ChatGPT: az adóbevallást is megcsinálja

Megállapodott az OpenAI és a PwC: első körben a Big4 továbbértékesíti a ChatGPT-t, illetve százezer alkalmazottja használhatja a munkájához.
 
Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.

a melléklet támogatója a Balasys IT Zrt.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.