Şirket tarafından paylaşılan detaylarda bilinmeyen bir tehdit aktörü, daha önce Ağustos ayındaki sızmış verilerden elde edilen hassas bilgilerden yararlanarak bulut tabanlı bir depolama ortamına erişim sağlamış. Ağustos 2022’deki sızıntıda herhangi bir müşteri verisi çalınmamış olsa da geliştirme ortamından bazı kaynak kodlarının ve teknik bilgilerin çalındığı, çalınan bu bilgilerle bulut tabanlı depolama hizmetindeki bazı depolama birimlerine erişmek ve şifrelerini çözmek için kullanılan kimlik bilgilerini ve anahtarları alınarak başka bir çalışanı hedef almak için kullanılmış.
Saldırganların, LastPass’a ait şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresi, telefon numaraları, müşterilerin LastPass hizmetine eriştiği IP adresleri dahil olmak üzere kişisel bilgilere ve ilgili meta verilere erişildiği belirtiliyor. Ancak şifrelenmemiş herhangi bir kredi kartı verisine erişildiğine dair bir kanıt olmadığı da eklenenler arasında yer alıyor.
Tehdit aktörünün ayrıca web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve formla doldurulmuş veriler gibi tamamen şifrelenmiş hassas alanlara eriştiği belirtiliyor. Bu şifrelenmiş alanların 256 bit AES şifreleme ile korunduğunu ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla şifresinin çözülebileceği de belirtiliyor.
Perşembe günü duyurulan bilgilendirmede ayrıca LastPass’ın ihlali takiben güvenliğini artırmak için aldığı çeşitli önlemleri de listeledi. Bu kapsamda saldırıya uğramış geliştirme ortamının hizmet dışı bırakılmasını ve sıfırdan yeniden oluşturulmasını, yönetilen bir uç nokta algılama ve yanıt hizmetinin elde tutulmasını ve etkilenmiş olabilecek tüm ilgili kimlik bilgilerinin ve sertifikaların döndürülmesini içerdiği belirtildi.
