最新的LastPass安全漏洞突出了开发人员作为高价值目标

去年8月，基于云计算的密码管理工具LastPass的维护者报告了一个漏洞他们的服务器存在安全漏洞。披露坚持认为，未经授权的一方获得访问LastPass开发环境通过单个受损的开发人员帐户。然而，虽然源代码和技术信息被盗，但没有用户数据受到损害，也没有服务中断。关于用户数据的这一具体陈述被多次重申。

然而，几天前(12月22日)LastPass发布了此安全事件的更新，声称有更多信息被泄露。

这次到底是什么被攻破了?

正如在最新的更新中所声称的，攻击者能够使用先前泄露的技术数据来再找一个LastPass员工里面有更多的证件和钥匙。这些凭证允许攻击者复制客户保险库数据的备份。

此保险库数据包含几个项目-

• 未加密的网站网址- LastPass浏览器扩展保存的url，它提供了LastPass用户访问过的网站的部分历史记录。这些url可能包含非常敏感的信息，例如用于登录、重置密码等的参数。
• 加密的网站用户名和密码- LastPass保存的实际用户名和密码，用用户的主密码加密(不存储在LastPass的云服务器上)

这是一个非常严重的泄漏，因为这意味着攻击者可以立即访问网站的url，在某些情况下，这些url可以用来以受害者的名义执行特权操作，或者用于网络钓鱼和勒索目的。

除此之外，攻击者现在可以对用户的主密码进行离线暴力破解。如果攻击者设法暴力破解用户的主密码(这在一些较弱的密码上绝对是可行的)，那么攻击者就可以获得所有用户的网站用户名和密码。

为什么开发者会成为攻击目标?

直到几年前，针对开发人员的威胁参与者活动还很少(大多数威胁参与者针对的是IT管理员或特定的服务器)。然而，随着DevOps的出现，公司的开发人员和DevOps工程师掌握了“进入这个王国的钥匙”——即公司云环境、IaC配置等的证书。开发人员现在是控制公司整个生产环境行为的人。

这就是为什么我们看到新的攻击向量直接针对开发人员的原因，例如在开源存储库中看到的大量恶意软件包，例如PyPI和npm。这些包就在那里，等待开发人员输入错误的类型或使用错误的依赖项，以便将它们安装到开发人员的机器上。

在这种情况下，开发者应该怎么做?

始终使用多因素身份验证

对于在其服务上启用MFA的用户(最重要的是-他们的电子邮件提供商)，即使主密码被破坏，攻击者也无法绕过MFA而不被利用额外的漏洞(或者-对用户进行成功的网络钓鱼攻击)。

更改LastPass密码

用户应该假设他们的主密码是暴力破解的，因此他们所有的网站用户名和密码现在都被泄露了。强烈建议访问每个网站(LastPass存储凭据的网站)，并将密码更改为与旧(可能泄露的)密码不同的密码。

考虑迁移到其他密码管理器

最近的安全事件暴露了LastPass没有注意到的一些不良做法，不幸的是，这些不良做法现在已经给他们的用户造成了不必要的损害

• 更好的密码处理-而LastPass迭代地增加了他们的密码复杂度和哈希迭代计数要求新用户在美国，这些规则从未对现有用户强制执行。这意味着在安全事件发生时，该平台的资深用户可能一直在使用一个非常弱的密码，该密码通过最少的迭代进行散列。这些安全故障意味着攻击者可以更容易地暴力破解该用户的主密码。
• 元数据加密—LastPass加密敏感用户元数据(如网站url)失败。此安全事件意味着攻击者可以立即获得此元数据
• 密码保存在云端- LastPass选择将用户密码保存在云端，这使得计算机之间的密码同步变得更加容易，但随之而来的是密码在安全事件中泄露的巨大缺点。

所有这些缺点都被其他密码管理器解决了，比如1Password、Bitwarden等等。

JFrog安全研究一直建议使用密码管理器来保存所有数据在本地。

警惕网络钓鱼活动

由于攻击者现在可以访问LastPass用户的网站url(和其他元数据)，攻击者可以使用这些信息挂载一个鱼叉式网络钓鱼攻击这些用户。例如，一个经常访问的用户facebook.com现在可能会收到来自facebook的网络钓鱼邮件，要求更新他们的密码，这实际上会泄露他们的密码给攻击者。

与JFrog安全研究保持同步

关注JFrog安全研究团队的最新发现和技术更新安全研究博客文章并在推特上@JFrogSecurity。