- O que aconteceu e quais providências foram tomadas?
- Quais dados foram acessados?
- Quais providências vocês devem tomar para garantir a proteção pessoal ou da empresa?
- O que fizemos para proteger o LastPass
- O que vocês podem esperar de nós
O QUE ACONTECEU E QUAIS PROVIDÊNCIAS FORAM TOMADAS?
Os dois incidentes que divulgamos no ano passado afetaram o LastPass e nossos clientes. Nenhum dos incidentes foi causado por qualquer defeito do produto LastPass ou acesso não autorizado a — ou uso indevido de — sistemas de produção. Em vez disso, o agente da ameaça explorou uma vulnerabilidade em um software de terceiros, burlou os controles existentes e, por fim, acessou ambientes de armazenamento de backup e desenvolvimento de não produção. Compartilhamos informações técnicas, indicadores de comprometimento (IOCs) e táticas, técnicas e procedimentos (TTPs) do agente da ameaça com as autoridades competentes e nossos parceiros forenses e de inteligência de ameaças. Até o momento, no entanto, a identidade do agente da ameaça e sua motivação permanecem desconhecidas. Ele não fez contato ou exigências, e não detectamos atividade clandestina crível indicando que o agente da ameaça esteja se dedicando ativamente à comercialização ou venda de qualquer informação obtida durante os incidentes. Resumo do Incidente 1: o laptop corporativo de um engenheiro de software foi comprometido, permitindo que o agente de ameaça não autorizado obtivesse acesso a um ambiente de desenvolvimento baseado em nuvem e roubasse códigos-fonte, informações técnicas e certos segredos internos do sistema LastPass. Nenhum dado de cliente ou cofre foi obtido durante esse incidente, pois não há dados de clientes ou cofres no ambiente de desenvolvimento. Declaramos o incidente encerrado, mas depois descobrimos que as informações roubadas no primeiro incidente foram usadas para identificar alvos e iniciar o segundo incidente. Em resposta ao primeiro incidente, mobilizamos nossas equipes internas de segurança, bem como recursos da Mandiant. Como parte do processo de contenção, erradicação e recuperação, tomamos as seguintes providências:- Removemos o ambiente de desenvolvimento e criamos um novo para garantir total contenção e erradicação.
- Implantamos controles e tecnologias de segurança adicionais para complementar os controles existentes.
- Alternamos todos os segredos de texto não criptografado relevantes usados por nossas equipes e quaisquer certificados expostos.
- Analisamos os recursos de armazenamento baseado em nuvem do LastPass e aplicamos políticas e controles adicionais.
- Analisamos e alteramos os controles de acesso privilegiado existentes.
- Alternamos segredos e certificados relevantes que foram acessados pelo agente da ameaça.
QUAIS DADOS FORAM ACESSADOS?
Conforme detalhado nos resumos dos incidentes, o agente da ameaça roubou dados de propriedade exclusiva do LastPass e dados de clientes durante os dois incidentes, incluindo o seguinte: Resumo dos dados acessados no Incidente 1:- Desenvolvimento sob demanda baseado em nuvem e repositórios de código-fonte — isso incluiu 14 dos 200 repositórios de software.
- Scripts internos dos repositórios — continham segredos e certificados do LastPass.
- Documentação interna — informações técnicas que descreviam como o ambiente de desenvolvimento operava.
- Segredos de DevOps — segredos restritos que foram usados para obter acesso ao armazenamento de backup baseado em nuvem.
- Armazenamento de backup baseado em nuvem — continha dados de configuração, segredos de API, segredos de integração de terceiros, metadados de clientes e backups de todos os dados do cofre dos clientes. Todos os dados confidenciais do cofre dos clientes, exceto URLs, caminhos de arquivo para o software LastPass Windows ou macOS instalado e certos casos de uso envolvendo endereços de e-mail, foram criptografados usando nosso modelo de conhecimento zero e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestre de cada usuário. Vale lembrar que as senhas mestre dos usuários finais nunca são de conhecimento do LastPass e não são armazenadas ou mantidas pelo LastPass, portanto, elas não estavam entre os dados que foram exfiltrados.
- Backup do LastPass MFA/banco de dados de federação — continha cópias de seeds do LastPass Authenticator, números de telefone usados para a opção de backup da MFA (se ativada), bem como um componente de conhecimento compartilhado (a “chave” K2) usado para a federação do LastPass (se ativada). Esse banco de dados foi criptografado, mas a chave de descriptografia armazenada separadamente estava nos segredos roubados pelo agente da ameaça durante o segundo incidente.
QUAIS PROVIDÊNCIAS VOCÊS DEVEM TOMAR PARA GARANTIR A PROTEÇÃO PESSOAL OU DA EMPRESA?
Para auxiliar nossos clientes da melhor maneira possível em seus próprios esforços de resposta a incidentes, preparamos dois boletins de segurança: um para nossos usuários Free, Premium e Families e outro específico para nossos usuários Business e Teams. Cada boletim de segurança traz informações destinadas a ajudar nossos clientes a proteger a conta LastPass e responder a esses incidentes de segurança de uma forma que acreditamos atender às suas próprias necessidades pessoais ou ao perfil e ambiente de segurança da organização em que atuam.- Boletim de segurança: Ações recomendadas para clientes LastPass Free, Premium e Families. Este boletim explica em detalhes como nossos usuários Free, Premium e Families podem realizar uma revisão de configurações importantes do LastPass projetadas para ajudar a proteger a conta ao confirmar que as práticas recomendadas estão sendo seguidas.
- Boletim de segurança: Ações recomendadas para administradores do LastPass Business. Este boletim detalha como os administradores de nossos clientes Business e Teams podem realizar uma avaliação de risco da configuração de conta do LastPass e das integrações de terceiros, além de trazer informações relevantes para clientes federados e não federados.
O QUE FIZEMOS PARA PROTEGER O LASTPASS
Desde agosto, implantamos várias novas tecnologias de segurança em nossos data centers, infraestrutura e ambientes de nuvem para reforçar ainda mais nossa postura de segurança. Grande parte dessas medidas já estava planejada e foi feita em tempo recorde, pois havíamos iniciado esse trabalho antes do primeiro incidente. Também priorizamos e iniciamos investimentos significativos em segurança, privacidade e boas práticas operacionais. Realizamos uma revisão abrangente de nossas políticas de segurança e incorporamos alterações para restringir acessos e privilégios quando apropriado. Concluímos uma análise abrangente dos controles e configurações existentes, e fizemos as alterações necessárias para fortalecer os ambientes existentes. Também iniciamos o trabalho para expandir o uso de criptografia em nossa infraestrutura de aplicativos e backup. Por fim, começamos a buscar iniciativas arquitetônicas de longo prazo para ajudar a impulsionar a evolução da plataforma no LastPass. Vocês podem clicar aqui para ver uma lista do trabalho que foi concluído e que está atualmente em nosso roteiro de segurança.O QUE VOCÊS PODEM ESPERAR DE NÓS
Desde nossa publicação de 22 de dezembro, falei com muitos de nossos clientes de planos pessoais e empresariais. Reconheço a frustração de nossos clientes com nossa incapacidade de nos comunicarmos de forma mais imediata, clara e detalhada durante esse evento. Aceito as críticas e assumo total responsabilidade. Aprendemos muito com isso e estamos comprometidos em tornar nossa comunicação mais eficaz daqui para frente. A atualização de hoje é uma demonstração desse compromisso. Há pouco mais de um ano, a GoTo e seus investidores anunciaram que o LastPass se tornaria uma empresa independente, com uma nova equipe de liderança. O objetivo é permitir que a empresa alcance todo o seu potencial e cumprir a promessa de criar a plataforma de referência em gerenciamento de senhas corporativas. No final de abril de 2022, assumi o cargo de CEO para ajudar a liderar essa iniciativa. Nos últimos oito meses, contratamos novos líderes para ajudar a impulsionar o crescimento da empresa e colocar uma nova estratégia em prática. Isso inclui veteranos e líderes reconhecidos do setor de segurança e tecnologia. Como parte da próxima fase de crescimento da empresa, fizemos uma alocação multimilionária para aprimorar nosso investimento em segurança envolvendo pessoas, processos e tecnologia. Esse investimento norteia nosso compromisso de transformar o LastPass em uma empresa líder em segurança cibernética e garantir que tenhamos condições de nos proteger contra ameaças futuras. Obrigado pelo feedback, pela compreensão e por todo apoio de sempre.
Karim Toubba
CEO, LastPass