Theo Securityweek, máy tính tại nhà của một kỹ sư làm việc cho LastPass đã bị hacker cài keylog, đây là một phần của chiến dịch tấn công mạng nhằm đánh cắp dữ liệu từ tài nguyên lưu trữ đám mây.

LastPass, công ty thuộc sở hữu của GoTo (trước đây là LogMeIn), đã công bố bị ảnh hưởng bởi vụ tấn công mới, trong đó hacker đã kết hợp dữ liệu bị đánh cắp từ hồi tháng 8 và lỗ hổng trong gói phần mềm của bên thứ ba để khởi động một cuộc tấn công phối hợp.

Công ty cho biết cuộc điều tra đã xác định tác nhân đe dọa đã kết thúc vụ tấn công đầu tiên vào ngày 12/8/2022. Nhưng hacker đã lên kế hoạch mới từ ngày 12/8 đến 26/10/2022. Vụ thứ hai cho thấy hacker sử dụng thông tin lấy được từ vụ đầu tiên để đánh cắp dữ liệu từ kho lưu trữ đám mây trước khi LastPass hoàn thành việc cài đặt lại.

LastPass đã làm việc với các chuyên gia ứng phó sự cố tại Mandiant để thực hiện điều tra và phát hiện ra máy tính ở nhà của một kỹ sư công ty đã bị nhắm mục tiêu để vượt qua các biện pháp bảo mật.

Kẻ tấn công đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm của bên thứ ba, từ đó cài đặt phần mềm độc hại dò nội dung gõ phím (keylogger) trên máy tính cá nhân của nhân viên này. LastPass nói hacker đã có thể lấy được mật khẩu nhân viên sau khi xác thực đa yếu tố (MFA) và có quyền truy cập vào kho dữ liệu LastPass.

Hãng thừa nhận hacker đã trích xuất các dữ liệu của công ty và các thư mục được chia sẻ. Các thư mục này chứa ghi chú bảo mật được mã hóa với các khóa và giải mã các bản sao lưu nằm trên nền tảng AWS S3, tài nguyên lưu trữ trên đám mây và một vài bản sao lưu cơ sở dữ liệu quan trọng.

Trước đó, LastPass cho biết một phần mã nguồn của họ đã bị đánh cắp vào tháng 8/2022. Hồi tháng 1/2023, công ty xác nhận trường hợp năm ngoái nghiêm trọng hơn rất nhiều so với báo cáo ban đầu, hacker đã đánh cắp được tên tài khoản, mật khẩu được mã hóa, một phần tùy chọn cài đặt xác thực đa yếu tố (MFA). Công ty cho biết hiện có 30 triệu người dùng và 85.000 khách hàng doanh nghiệp trên toàn cầu.