LastPass รายงานถึงเหตุข้อมูลรั่วเมื่อปลายปี 2022 ที่ร้ายแรงถึงขนาดที่คนร้ายได้ฐานข้อมูลรหัสผ่านลูกค้าไป แม้ตัวฐานข้อมูลจะเข้ารหัสด้วย master password ก็ตาม

บริษัทระบุว่าวิศวกรที่เข้าถึงข้อมูลชุดนี้ได้มีเพียงวิศวกร DevOps สี่คนเท่านั้น และคนร้ายก็โจมตีคอมพิวเตอร์ที่บ้านของวิศวกรหนึ่งในสี่คนนี้ด้วยการเจาะโปรแกรมจากผู้ผลิตภายนอกและฝังเอา keylogger ลงในคอมพิวเตอร์ได้สำเร็จ เมื่อวิศวกรผู้นี้เข้าถึง vault ของบริษัทคนร้ายก็ได้ master password ของบริษัทไป ภายในมีกุญแจสำหรับเข้าถึง AWS S3 จำนวนมาก โดยเฉพาะระบบสำรองข้อมูล

ระหว่างที่คนร้ายโหลดข้อมูลออกไประบบแจ้งเตือนไม่ได้เตือนอะไรเพราะกุญแจที่ใช้ถูกต้องดี จนกระทั่งคนร้ายพยายามส่งคำสั่งที่กุญแจไม่มีสิทธิ์ AWS GuardDuty จึงแจ้งเตือนขึ้นมา

ตอนนี้ทาง LastPass ได้เปลี่ยนกุญแจสำคัญที่หลุดไปยังแฮกเกอร์ทั้งหมดแล้ว และกำลังไล่เปลี่ยนกุญแจอื่นๆ ทั้งหมดแม้จะไม่พบความเสี่ยงกับผู้ใช้ หลังจากนี้จะบีบนโยบายการเข้าถึงข้อมูลมากขึ้น รวมถึงการจำกัดไอพีที่เข้าได้, ถอดบัญชีผู้ใช้ที่ไม่จำเป็นออก, เพิ่มมาตรการเก็บ log เพิ่มเติม, และเพิ่มการแจ้งเตือน

ที่มา – LastPass