LastPass: hack liep via mediasoftware bij top-developer thuis

LastPass maakt nu meer details bekend over de digitale inbraak die is gepleegd bij de maker van de gelijknamige wachtwoordmanager. Er is sprake van een tweede aanval, die is voortgekomen uit de eerste hack. Online wordt nu gespeculeerd, geconcludeerd en geanalyseerd dat hier zeer waarschijnlijk sprake is van een staatsgesteunde aanvaller.

'Groot vertrouwen'

"Ondanks groot vertrouwen in de uitkomsten van ons onderzoek en de acties ondernomen in reactie op het eerste incident, heeft de 'threat actor' informatie benut die is gestolen tijdens het eerste incident, informatie beschikbaar uit een third-party data breach, en een kwetsbaarheid in een third-party mediasoftwarepakket om een gecoördineerde tweede aanval uit te voeren."

LastPass noemt hierbij niet de namen van de derde partijen of derde partij. Maar de genoemde data breach bij een ander bedrijf zou dezelfde organisatie kunnen betreffen die de genoemde mediasoftware maakt. Dit is niet alleen een theoretische aanname, maar een conclusie die wordt getrokken op basis van meldingen dat het gaat om Plex en diens gelijknamige software voor mediastreaming.

Soort supplychain-aanval

Dit stellen anonieme bronnen, die op de hoogte zijn van het LastPass-onderzoeksrapport, schrijft Ars Technica. Plex heeft eind augustus vorig jaar een eigen hackaanval gemeld, waarbij data is buitgemaakt. Dat was nog geen twee weken nadat de eerste aanval op LastPass plaatsvond. De inbraak bij Plex heeft niet alleen het bedrijf zelf geraakt, maar ook zijn software en daarmee gebruikers. Plex heeft gebruikers toen het dringende advies gegeven om hun wachtwoorden te resetten.

Voordat die waarschuwing is afgegeven, hebben aanvallers echter met succes mediasoftware thuis bij een hoofdontwikkelaar van LastPass weten te hacken. Daarlangs is toen een keylogger geplaatst op een laptop van die werknemer, die één van vier senior DevOps-ingenieurs is met toegang tot een database met bedrijfsgeheime informatie. Het wachtwoord voor die corporate vault is toen buitgemaakt, waarna data daarin is gestolen door de aanvallers. Dit betrof dan weer sleutels voor toegang tot cloudopslag van LastPass: S3-buckets bij AWS.

Lessen om te leren

De tweede aanval die in december plaatsvond, door LastPass consequent een "incident" genoemd, is voortgekomen uit de eerste aanval. Aan incident één is op 12 augustus een halt toegeroepen, waarna de aanvaller een omslag heeft gemaakt om langs andere weg alsnog binnen te komen, meldt de gehackte wachtwoordmanager nu. Logging en alarmeringen waren toen wel ingeschakeld bij LastPass, maar die gaven niet onmiddellijk het afwijkende gedrag aan. Het ging immers om handelingen met een valide inlog. Later bleek het gedrag van de aanvaller wel helder te zien, geeft het bedrijf aan.

Terwijl er online kritiek wordt geuit op LastPass, de thuiswerkende DevOps-ingenieur en ook op Plex, klinken er ook positieve geluiden. LastPass geeft met de openheid van zaken nu wel inzicht in hoe dit soort aanvallen worden uitgevoerd en hoe andere bedrijven zich kunnen wapenen hiertegen.