LastPass, Ağustos güvenlik ihlalinin arkasındaki saldırganın, tespit edilip tahliye edilene kadar şirketin sistemlerine dört gün boyunca dahili erişime sahip olduğunu söyledi.
Lastpass’ın CEO’su Karim Toubba, geçen ay yayınlanan güvenlik olayı bildiriminde yapılan bir güncellemede, şirketin (siber güvenlik firması Mandiant ile ortaklaşa yürütülen) soruşturmasının, tehdit aktörünün müşteri verilerine veya şifreli parola kasalarına eriştiğine dair hiçbir kanıt bulamadığını söyledi.
Toubba, “Tehdit aktörü Geliştirme ortamına erişebilse de, sistem tasarımımız ve kontrollerimiz, tehdit aktörünün herhangi bir müşteri verisine veya şifreli parola kasalarına erişmesini engelledi.” söz konusu.
Saldırganın Geliştirme ortamına erişmek için bir Lastpass geliştiricisinin uç noktasını tehlikeye atabildiği yöntem olsa da, soruşturma, tehdit aktörünün “çok faktörlü kimlik doğrulama kullanarak başarılı bir şekilde kimliğini doğruladıktan” sonra geliştiricinin kimliğine bürünebildiğini buldu.
Kaynak kodu ve üretim yapılarını analiz ettikten sonra şirket, saldırganın kötü niyetli kod enjekte etmeye çalıştığına dair bir kanıt da bulamadı.
Bunun nedeni, yalnızca Yapı Sürümü ekibinin kodu Geliştirme’den Üretim’e aktarabilmesi ve o zaman bile Toubba, sürecin kod inceleme, test etme ve doğrulama aşamalarını içerdiğini söyledi.
Ek olarak, LastPass Geliştirme ortamının “fiziksel olarak ayrıldığını ve Lastpass’ın Üretim ortamından doğrudan bağlantısı olmadığını” da sözlerine ekledi.
Olayın ardından Lastpass, hem Geliştirme hem de Üretim ortamlarında “ek uç nokta güvenlik kontrolleri ve izleme dahil olmak üzere gelişmiş güvenlik kontrollerinin yanı sıra ek tehdit istihbarat yetenekleri ve gelişmiş algılama ve önleme teknolojilerini devreye aldı”.
İhlal bildirimi iki hafta ertelendi
Bu güncelleme, Lastpass’ın 25 Ağustos’ta kullanıcılara geliştirme ortamında “yakın zamanda bazı olağandışı etkinlikler tespit ettiğini” bildirmesinden sonra gelir.
Açıklama, BleepingComputer’ın ihlali bir hafta önce içeriden öğrenip 21 Ağustos’ta soru ve olayı doğrulamak için taleplere yanıt almadan şirkete ulaşmasının ardından geldi.
BleepingComputer’ın e-postalarından sonra müşterilere gönderilen mektupta, Lastpass saldırıya uğradığını doğruladı iki hafta önce ve saldırganların bazı kaynak kodlarını ve özel teknik bilgileri çaldığını söyledi.
Şirket o zaman, “İki hafta önce, LastPass geliştirme ortamının bazı bölümlerinde olağandışı bir etkinlik tespit ettik” dedi.
“Acil bir soruşturma başlattıktan sonra, bu olayın müşteri verilerine veya şifreli şifre kasalarına herhangi bir erişim içerdiğine dair hiçbir kanıt görmedik.”
LastPass, 33 milyondan fazla insan ve 100.000 işletme tarafından kullanıldığını iddia eden şirket ile dünyanın en popüler şifre yönetim yazılımlarından birini sağlıyor.