LastPass, que ya sufría las consecuencias de una brecha que puso datos de inicio de sesión parcialmente cifrados en manos de un ciberdelincuente, ha declarado que el mismo atacante pirateó el ordenador doméstico de un empleado y obtuvo una bóveda descifrada a la que sólo tenían acceso unos pocos desarrolladores de la empresa.
Aunque la intrusión inicial en LastPass finalizó el 12 de agosto, los responsables del gestor de contraseñas afirmaron que el autor de la amenaza «participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración» entre el 12 y el 26 de agosto.
En el proceso, el desconocido actor de la amenaza fue capaz de robar credenciales válidas de un ingeniero senior de DevOps y acceder al contenido de una bóveda de datos de LastPass.
Entre otras cosas, la bóveda daba acceso a un entorno compartido de almacenamiento en la nube que contenía las claves de cifrado de las copias de seguridad de la bóveda de los clientes almacenadas en cubos de Amazon S3.
Esto se logró atacando el ordenador doméstico del ingeniero DevOps y explotando un paquete de software de terceros vulnerable, que habilitó la capacidad de ejecución remota de código y permitió al actor de la amenaza implantar malware keylogger
El actor de la amenaza fue capaz de capturar la contraseña maestra del empleado a medida que se introducía, después de que el empleado se autenticara con MFA, y obtener acceso a la bóveda corporativa de LastPass del ingeniero DevOps.
El ingeniero DevOps hackeado era uno de los cuatro …