AIO APEX
Security

LastPass تأیید کرد: داده‌های مشتریان در حمله به زنجیره تامین Klue به سرقت رفته است — ۳۳ میلیون کاربر تحت تأثیر قرار گرفتند

TechCrunch / BleepingComputer
اشتراک‌گذاری:
LastPass تأیید کرد: داده‌های مشتریان در حمله به زنجیره تامین Klue به سرقت رفته است — ۳۳ میلیون کاربر تحت تأثیر قرار گرفتند

LastPass در تاریخ ۲۳ ژوئن به مشتریانش اطلاع داد که اطلاعات شخصی و سوابق پشتیبانی آن‌ها در پی یک حمله زنجیره تأمین به Klue — پلتفرم هوش رقابتی که LastPass در فرآیند ورود به بازار خود از آن بهره می‌برد — به سرقت رفته است. گروهی با نام Icarus توکن‌های OAuth ذخیره‌شده در Klue را به چنگ آورد، از آن‌ها برای دسترسی به محیط Salesforce این شرکت استفاده کرد و پیش از آنکه نفوذ شناسایی شود، داده‌های مشتریان را استخراج کرد. LastPass بیش از ۳۳ میلیون کاربر دارد، هرچند تعداد دقیق افراد آسیب‌دیده اعلام نشده است.

نکته کلیدی اینجاست که این نفوذ به زیرساخت اصلی LastPass یا خزانه‌های رمزگذاری‌شده‌ای که رمزهای عبور کاربران را در خود نگه می‌دارند، آسیب نرساند. این شرکت اعلام کرد: «زیرساخت خود شرکت، از جمله خزانه‌های رمز عبور مشتریان، تحت تأثیر قرار نگرفت.» داده‌های به سرقت رفته تنها شامل اطلاعات ارتباط با مشتری و سوابق پشتیبانی می‌شود — نوع داده‌ای که در ابزارهای فروش و پشتیبانی نگهداری می‌شود، نه در خود محصول مدیریت رمز عبور.

نحوه وقوع حمله

ریشه این نفوذ به ۱۲ ژوئن بازمی‌گردد؛ زمانی که Jason Smith، مدیرعامل Klue، به‌طور عمومی تأیید کرد که مهاجمان به توکن‌های OAuth ذخیره‌شده برای بسیاری از مشتریان این شرکت دسترسی پیدا کرده‌اند. Icarus از طریق اعتبارنامه‌های لو رفته یک سرویس یکپارچه‌ساز وارد سیستم‌های Klue شد — نقطه ضعفی که اغلب نادیده گرفته می‌شود؛ سازمان‌ها اعتبارنامه‌های حساب‌های فعال را به‌روز می‌کنند اما اعتبارنامه سرویس‌های یکپارچه‌ساز را دست‌نخورده رها می‌کنند. پس از نفوذ به زیرساخت Klue، مهاجمان توکن‌های OAuth را یافتند که Klue را به محیط‌های SaaS مشتریان، از جمله حساب‌های Salesforce و Gong آن‌ها، متصل می‌کرد.

LastPass یکی از چند شرکتی بود که محیط Salesforce‌شان از طریق توکن‌های OAuth در معرض خطر Klue قرار گرفته بود. دیگر قربانیان تأیید شده عبارتند از HackerOne، Recorded Future، Tanium، Jamf، Sprout Social و Gong. الگو در همه موارد یکسان است: یک فروشنده با دسترسی گسترده OAuth به دروازه‌ای برای نفوذ همزمان به چندین سازمان تبدیل می‌شود — یک نقطه ورود واحد که دسترسی به اهداف بسیار را ممکن می‌کند.

چه داده‌هایی از LastPass به سرقت رفت

داده‌های تأیید شده‌ای که به سرقت رفته شامل نام مشتریان، شماره تلفن، آدرس ایمیل، آدرس فیزیکی و محتوای تیکت‌های پشتیبانی است. این آخری اهمیت خاصی دارد: محتوای تیکت‌های پشتیبانی می‌تواند شامل جزئیاتی درباره پیکربندی حساب، نگرانی‌های امنیتی پیشین و مراحل عیب‌یابی باشد — اطلاعاتی که برای حملات مهندسی اجتماعی هدفمند علیه کاربران آسیب‌دیده بسیار کاربردی است.

LastPass فاش نکرده که چه تعداد کاربر دقیقاً تحت تأثیر قرار گرفته است. از مجموع ۳۳ میلیون کاربر این شرکت که ترکیبی از حساب‌های رایگان و پولی هستند، داده‌های در معرض خطر در Salesforce احتمالاً مشتریان پرداخت‌کننده و کاربرانی را دربرمی‌گیرد که با پشتیبانی تماس گرفته‌اند، نه کل پایگاه کاربری.

Icarus: بازیگر تهدید

Icarus یک گروه اخاذی از نوع سرقت داده است — سیستم‌های قربانیان را مانند باج‌افزارهای سنتی رمزگذاری نمی‌کند، بلکه داده‌ها را می‌دزدد و تهدید می‌کند که در صورت عدم پرداخت باج، آن‌ها را منتشر خواهد کرد. این گروه به‌طور علنی اعلام کرده که اگر خواسته‌هایش برآورده نشود، داده‌های مشتریان LastPass را افشا خواهد کرد. Icarus گروهی نسبتاً تازه‌وارد با پیشینه عمومی اندک است، اما پیچیدگی حمله به زنجیره تأمین Klue — شناسایی و بهره‌برداری از توکن‌های OAuth در محیط‌های متعدد مشتری از یک نقطه ورود واحد — نشانه یک عملیات باتجربه است.

کاربران LastPass چه باید بکنند

چون خزانه‌های رمز عبور به خطر نیفتاده‌اند، کاربران نیازی ندارند که رمز عبور اصلی خود را مستقیماً به‌خاطر این نفوذ تغییر دهند. با این حال، اطلاعات تماس و سوابق پشتیبانی به سرقت رفته خطر فیشینگ جدی ایجاد می‌کند: کاربران باید نسبت به ایمیل‌ها یا تماس‌های هدفمندی که ادعا می‌کنند از LastPass هستند و به جزئیات حساب خاص اشاره می‌کنند، هوشیار باشند. LastPass هرگز از کاربران نمی‌خواهد رمز عبور اصلی‌شان را از طریق ایمیل یا تلفن ارائه دهند؛ هر درخواستی از این دست، هر قدر هم قانع‌کننده به نظر برسد، یک تلاش فیشینگ است.

پیام گسترده‌تر این ماجرا، ریسک فروشندگان شخص ثالث است. LastPass مستقیماً هک نشد — سیستم‌های خودش به خطر نیفتادند. بلکه از طریق یک فروشنده که دسترسی OAuth به داده‌های مشتریانش داشت، نفوذ رخ داد. این بردار حمله روزبه‌روز رایج‌تر می‌شود و دفاع در برابر آن دشوار است، چون سازمان‌ها معمولاً مجوزهای گسترده OAuth را به ابزارهای SaaS اعطا می‌کنند بدون آنکه به‌طور مداوم بر دامنه دسترسی آن توکن‌ها نظارت داشته باشند.

supply-chainoauthdata-breachlastpassklueicarus

Originally reported by TechCrunch / BleepingComputer. Read the original article for additional details.

View original source
اشتراک‌گذاری: