ככה שומרים על סיסמאות? חברת LastPass מודה: שהו אצלנו ברשת 4 ימים והגיעו לקוד מקור
החקירה קבעה כי התוקף השיג גישה לסביבת הפיתוח באמצעות עמדת קצה של איש פיתוח שנפרצה | במזל, רק צוות Build Release מחזיק בהרשאות לביצוע שינויים בקוד התוכנה
עמי רוחקס דומבה
| 20/09/2022
Karim Toubba is the Chief Executive Officer of LastPass | https://www.lastpass.com/company/leadership/karim-toubba
האקרים אינם פוסחים גם על חברות שחורטות על דגלן לספק שירותי אבטחת מידע. אחת מהן היא חברת LastPass, אשר מהותה - שמירת סיסמאות שלא יגיעו לידיים של ההאקרים.
לפי פרסום החברה מהימים האחרונים, ״ב-25 באוגוסט, 2022, הודענו על אירוע אבטחה שהוגבל לסביבת הפיתוח של LastPass שבה נלקח חלק מקוד המקור והמידע הטכני שלנו. רצינו לעדכן בסיום החקירה כדי לספק שקיפות ושקט נפשי לקהילות הצרכנים והעסקים שלנו.״
החקירה העלתה שפעילותו של התוקף ארכה ארבעה ימים באוגוסט 2022. ״במהלך זמן זה, צוות האבטחה של LastPass זיהה את פעילותו ולאחר מכן הכיל את האירוע. אין עדות לפעילות של גורם איום מעבר לציר הזמן שנקבע. אנו יכולים גם לאשר שאין ראיות לכך שהתקרית הזו כללה גישה כלשהי לנתוני לקוחות או כספות סיסמאות מוצפנות״, כותבים באתר החברה.
איך זיהו את התוקף ברשת הארגון והוא עדיין הצליח לגנוב קוד מקור? זו שאלה פתוחה. כנראה זיהו את פעילותו רק לאחר שמימש את מטרתו.
החקירה קבעה כי התוקף השיג גישה לסביבת הפיתוח באמצעות עמדת קצה של איש פיתוח שנפרצה. בעוד שלא ברור כיצד אותה עמדה נפרצה, התוקף ניצל את הגישה המתמשכת שלו כדי להתחזות למפתח, לאחר שהמפתח עבר אימות דו-שלבי מוצלח. במילים אחרות, עקפו את מנגנון האימות הדו שלבי שיישמה LastPass.
על פי הפרסום, סביבת הפיתוח של LastPass מופרדת פיזית מסביבת הייצור. בנוסף, סביבת הפיתוח אינה מכילה נתוני לקוחות או כספות מוצפנות. שלישית, ל- LastPass אין כל גישה לסיסמאות הראשיות של כספות הלקוחות (Zero Knowledge).
״על מנת לאמת את שלמות הקוד, ביצענו ניתוח של קוד המקור ואיננו רואים עדות לניסיונות של הרעלת קוד או הזרקת קוד זדונית. למפתחים אין את היכולת לדחוף קוד מקור מסביבת הפיתוח אל הייצור. יכולת זו מוגבלת לצוות Build Release נפרד ויכולה להתרחש רק לאחר השלמת תהליכי סקירת קוד, בדיקות ואימות קפדניים״, כותבים בהודעה.
אין ספק כי במקרה זה, הסגמנטציה האנושית כיסתה על זו הטכנית. כאשר למפתחים אין את היכולת לדחוף קוד מקור מסביבת הפיתוח אל הייצור ורק צוות Build Release יכול לעשות זאת. תובנה שייתכן וארגונים נוספים, גם בישראל, יכולים ליישם. מידור הרשאות בסביבת פיתוח.
החקירה קבעה כי התוקף השיג גישה לסביבת הפיתוח באמצעות עמדת קצה של איש פיתוח שנפרצה | במזל, רק צוות Build Release מחזיק בהרשאות לביצוע שינויים בקוד התוכנה
Karim Toubba is the Chief Executive Officer of LastPass | https://www.lastpass.com/company/leadership/karim-toubba
האקרים אינם פוסחים גם על חברות שחורטות על דגלן לספק שירותי אבטחת מידע. אחת מהן היא חברת LastPass, אשר מהותה - שמירת סיסמאות שלא יגיעו לידיים של ההאקרים.
לפי פרסום החברה מהימים האחרונים, ״ב-25 באוגוסט, 2022, הודענו על אירוע אבטחה שהוגבל לסביבת הפיתוח של LastPass שבה נלקח חלק מקוד המקור והמידע הטכני שלנו. רצינו לעדכן בסיום החקירה כדי לספק שקיפות ושקט נפשי לקהילות הצרכנים והעסקים שלנו.״
החקירה העלתה שפעילותו של התוקף ארכה ארבעה ימים באוגוסט 2022. ״במהלך זמן זה, צוות האבטחה של LastPass זיהה את פעילותו ולאחר מכן הכיל את האירוע. אין עדות לפעילות של גורם איום מעבר לציר הזמן שנקבע. אנו יכולים גם לאשר שאין ראיות לכך שהתקרית הזו כללה גישה כלשהי לנתוני לקוחות או כספות סיסמאות מוצפנות״, כותבים באתר החברה.
איך זיהו את התוקף ברשת הארגון והוא עדיין הצליח לגנוב קוד מקור? זו שאלה פתוחה. כנראה זיהו את פעילותו רק לאחר שמימש את מטרתו.
החקירה קבעה כי התוקף השיג גישה לסביבת הפיתוח באמצעות עמדת קצה של איש פיתוח שנפרצה. בעוד שלא ברור כיצד אותה עמדה נפרצה, התוקף ניצל את הגישה המתמשכת שלו כדי להתחזות למפתח, לאחר שהמפתח עבר אימות דו-שלבי מוצלח. במילים אחרות, עקפו את מנגנון האימות הדו שלבי שיישמה LastPass.
על פי הפרסום, סביבת הפיתוח של LastPass מופרדת פיזית מסביבת הייצור. בנוסף, סביבת הפיתוח אינה מכילה נתוני לקוחות או כספות מוצפנות. שלישית, ל- LastPass אין כל גישה לסיסמאות הראשיות של כספות הלקוחות (Zero Knowledge).
״על מנת לאמת את שלמות הקוד, ביצענו ניתוח של קוד המקור ואיננו רואים עדות לניסיונות של הרעלת קוד או הזרקת קוד זדונית. למפתחים אין את היכולת לדחוף קוד מקור מסביבת הפיתוח אל הייצור. יכולת זו מוגבלת לצוות Build Release נפרד ויכולה להתרחש רק לאחר השלמת תהליכי סקירת קוד, בדיקות ואימות קפדניים״, כותבים בהודעה.
אין ספק כי במקרה זה, הסגמנטציה האנושית כיסתה על זו הטכנית. כאשר למפתחים אין את היכולת לדחוף קוד מקור מסביבת הפיתוח אל הייצור ורק צוות Build Release יכול לעשות זאת. תובנה שייתכן וארגונים נוספים, גם בישראל, יכולים ליישם. מידור הרשאות בסביבת פיתוח.
