ย้อนกลับไปเมื่อเดือนธันวาคมที่ผ่านมา LastPass ผู้ให้บริการระบบจัดการรหัสผ่าน เกิดเหตุข้อมูลของผู้ใช้จำนวนมากรั่วไหล ซึ่งล่าสุดทางบริษัทสามารถสืบต้นตอของสาเหตุได้แล้ว โดยเป็นการแฮ็กผ่านคอมพิวเตอร์ของวิศวกร DevOps ของบริษัทครับ
นำเสนอข่าวสารโดย
TeammyInside
เมื่อ 12 สิงหาคม 2022 ทาง LastPass รายงานว่า คอมพิวเตอร์ของวิศวกรซอฟต์แวร์ถูกแฮ็กข้อมูล ส่งผลให้แฮ็กเกอร์ได้ซอร์สโค้ดและเอกสารภายในต่าง ๆ ของ LastPass ไป แต่นี่เป็นเพียงการโจมตีครั้งแรก ในครั้งที่ 2 นั้น แฮ็กเกอร์ดำเนินการตั้งแต่วันที่ 12 สิงหาคม – 26 ตุลาคม 2022 โดยอาศัยข้อมูลจากการโจมตีครั้งแรก
แฮ็กเกอร์อาศัยข้อมูลต่าง ๆ ที่ขโมยมาได้จากการโจมตีครั้งแรก เพื่อดำเนินการเดาสุ่ม จนสามารถเข้าถึงฐานข้อมูลเข้ารหัส Amazon S3 ของบริษัทได้
อย่างไรก็ตาม การถอดรหัสข้อมูลจะต้องอาศัยกุญแจถอดรหัส ซึ่งมีวิศวกร DevOps เพียง 4 รายเท่านั้นที่มีกุญแจดังกล่าว เพราะฉะนั้น แฮ็กเกอร์จึงเข้าจู่โจมคอมพิวเตอร์ที่บ้านของวิศวกร DevOps รายหนึ่ง ที่น่าจะอาศัยช่องโหว่จากโปรแกรมมีเดียสตรีมมิ่งที่ติดตั้งลงในคอมพิวเตอร์เครื่องดังกล่าว แล้วทำการติดตั้ง KeyLogger เพื่อสอดส่องและขโมยการเข้าถึงกุญแจถอดรหัสนั่นเองครับ
ทันทีที่วิศกรผู้โชคร้ายยืนยันตัวตนผ่าน Multifactor authenticator แล้ว แฮ็กเกอร์ก็ตั้งตารอขโมย Master password ของวิศวกรและเข้าถึงห้องนิรภัยของ LastPass ได้โดยง่าย ก่อนที่จะโอนถ่ายข้อมูลต่าง ๆ ออก รวมถึงกุญแจถอดรหัสเพื่อเข้าถึงฐานข้อมูลเข้ารหัส Amazon S3 ด้วย
เมื่อได้สิ่งที่ต้องการแล้ว แฮ็กเกอร์ได้เริ่มขโมยข้อมูลของผู้ใช้ได้นานถึง 2 เดือน ซึ่งต้องยอมรับว่ามันยากที่จะตรวจสอบได้ เพราะแฮ็กเกอร์ได้อยู่ในสถานะที่ยืนยันตัวตนถูกต้อง (Valid credentials) ไปแล้วนั่นเองครับ ส่วนสาเหตุที่ตรวจพบนั้น เพราะ AWS GuardDuty Alerts พบพฤติกรรมที่ผิดปกติในการพยายามใช้ตำแหน่ง Cloud Identity and Access Management (IAM) เพื่อเข้าทำกิจกรรมที่ไม่ได้รับอนุญาต
ทาง LastPass ได้อัปเดตระบบความปลอดภัยใหม่เป็นที่เรียบร้อย ไม่ว่าจะเป็นการเปลี่ยนกุญแจที่เกี่ยวข้องทั้งหมด, เพิ่มนโยบายการเข้าถึงข้อมูลที่รัดกุมมากขึ้น, เพิ่มมาตรการเก็บ Log เพิ่มเติม, แยก IP ที่ไม่จำเป็นออก, จำกัด IP ที่เข้าถึงได้ และเพิ่มการแจ้งเตือนให้ละเอียดมากขึ้นครับ
ขอขอบคุณข้อมูลจาก Bleeping Computer