Уважаемые клиенты LastPass!
Хочу поделиться с вами важным обновлением относительно инцидента безопасности, о котором мы сообщили 22 декабря 2022 года. Мы провели исчерпывающее расследование и не заметили никакой активности злоумышленников с 26 октября 2022 года.
В ходе нашего расследования мы узнали гораздо больше о том, что произошло, и сегодня мы представляем новые результаты. В течение того же периода мы вложили значительные усилия в улучшение нашей безопасности и общей операционной безопасности. В этом обновлении я рассмотрю эти меры и выделю дополнительные шаги по безопасности, которые мы предпринимаем.
Это обновление имеет следующую структуру:
Мы услышали и серьезно отнеслись к обратной связи о том, что мы должны были чаще и более всесторонне информировать во время этого процесса. Длительность расследования оставила нас перед сложными компромиссами в этом отношении, но мы понимаем и сожалеем о том, что наши первоначальные коммуникации вызвали разочарование у бизнеса и потребителей, которые полагаются на наши продукты. Представляя эти дополнительные детали сегодня и в нашем подходе в будущем, мы решительно намерены поступать правильно по отношению к нашим клиентам и более эффективно общаться.
Если вы хотите перейти сразу к рекомендациям LastPass по защите вашей учетной записи или вашего бизнеса, пожалуйста, нажмите здесь для потребителей или здесь для администраторов бизнеса.
Два инцидента, которые мы раскрыли в прошлом году, затронули LastPass и наших клиентов. Ни один из инцидентов не был вызван дефектом продукта LastPass или несанкционированным доступом или злоупотреблением системами производства. Вместо этого угроза была связана с использованием уязвимости в стороннем программном обеспечении, обходом существующих контролей и в конечном итоге получением доступа к средам не производства - среде разработки и резервному хранилищу.
Мы поделились технической информацией, индикаторами компрометации (IOCs) и тактиками, техниками и процедурами угрозы (TTPs) с правоохранительными органами и нашими партнерами по угрозам и форензике. Однако до сих пор идентичность угрозы и их мотивация остаются неизвестными. Не было никаких контактов или требований, и не было обнаружено никакой достоверной подпольной деятельности, свидетельствующей о том, что угроза активно занимается маркетингом или продажей любой информации, полученной в результате любого из этих инцидентов.
Описание первого инцидента: Корпоративный ноутбук инженера-программиста был скомпрометирован, что позволило злоумышленнику получить доступ к облачной среде разработки и украсть исходный код, техническую информацию и некоторые внутренние секреты системы LastPass. В ходе этого инцидента не были скомпрометированы данные клиентов или данные из хранилища, поскольку в среде разработки таких данных нет. Мы объявили этот инцидент закрытым, но позже выяснили, что информация, украденная в первом инциденте, была использована для выявления целей и запуска второго инцидента.
В ответ на первый инцидент мы мобилизовали наши внутренние команды по безопасности, а также ресурсы от компании Mandiant. В рамках процесса локализации, искоренения и восстановления мы предприняли следующие действия:
Краткое описание Инцидента 2: В ответ на второй инцидент мы вновь привлекли нашу команду реагирования на инциденты и компанию по кибербезопасности Mandiant. В рамках наших действий по сдерживанию, искоренению и восстановлению, связанных с вторым инцидентом, мы выполнили следующие меры:
Сводка данных, к которым был доступ в Инциденте 1:
Чтобы лучше помочь нашим клиентам в их усилиях по реагированию на инциденты, мы подготовили два бюллетеня безопасности - один для наших пользователей Free, Premium и Families, и один настроенный для наших пользователей Business и Teams. Каждый бюллетень безопасности содержит информацию, которая поможет нашим клиентам защитить свой аккаунт LastPass и ответить на эти случаи безопасности таким образом, который, по нашему мнению, соответствует их личным потребностям или профилю их организации в области безопасности.
Бюллетень безопасности: Рекомендуемые действия для пользователей LastPass Free, Premium и Families Этот бюллетень направлен на наших клиентов Free, Premium и Families и содержит руководство по важным настройкам LastPass, которые помогут защитить их аккаунты путем подтверждения соблюдения лучших практик.
Бюллетень безопасности: Рекомендуемые действия для бизнес-пользователей LastPass Этот бюллетень направлен на администраторов наших клиентов Business и Teams и содержит руководство по оценке рисков конфигураций аккаунтов LastPass и сторонних интеграций. Он также содержит информацию, которая актуальна как для нефедеративных, так и для федеративных клиентов.
Если у вас есть вопросы по рекомендуемым действиям, обратитесь в службу технической поддержки или в команду успеха клиента, которые готовы помочь.
Мы также приоритезировали и начали значительные инвестиции в области безопасности, конфиденциальности и лучших операционных практик. Мы провели всесторонний обзор наших политик безопасности и внесли изменения, чтобы ограничить доступ и привилегии, где это необходимо. Мы провели всеобъемлющий анализ существующих контролов и конфигураций, и мы внесли необходимые изменения, чтобы укрепить существующие среды. Мы также начали работу по расширению использования шифрования в нашем приложении и инфраструктуре резервного копирования. Наконец, мы начали планирование долгосрочных архитектурных инициатив, которые помогут продвинуть нашу эволюцию платформы LastPass.
Вы можете нажать здесь, чтобы увидеть список выполненных работ и работ, которые находятся в нашей дорожной карте безопасности.
С момента нашей публикации 22 декабря я общался с многими нашими корпоративными и потребительскими клиентами. Я признаю, что наши клиенты чувствуют разочарование из-за нашей неспособности своевременно, более четко и всесторонне общаться в ходе этого события. Я принимаю критику и полностью несу ответственность. Мы многому научились и обязуемся вести более эффективную коммуникацию в будущем. Сегодняшнее обновление - демонстрация нашей приверженности этому.
Немного более года назад GoTo и ее инвесторы объявили, что LastPass станет независимой компанией с новой командой руководства. Наша цель - раскрыть полный потенциал компании и выполнить обещание создания ведущей платформы управления паролями предприятия. В конце апреля 2022 года я присоединился в качестве генерального директора, чтобы помочь руководить этим процессом.
За последние восемь месяцев мы наняли новых лидеров, которые помогут продвинуть рост компании и выполнить новую стратегию. Наша новая команда включает в себя признанных ветеранов и лидеров отрасли безопасности и технологий. В рамках следующей фазы развития компании мы выделили многомиллионный бюджет на улучшение наших инвестиций в области безопасности среди людей, процессов и технологий. Эта инвестиция подтверждает наше обязательство превратить LastPass в ведущую кибербезопасную компанию и обеспечить, чтобы мы были в состоянии защитить себя и наших клиентов от будущих угроз.
Спасибо за ваше понимание, помощь и постоянную поддержку.
Карим Тубба Генеральный директор, LastPass
Хочу поделиться с вами важным обновлением относительно инцидента безопасности, о котором мы сообщили 22 декабря 2022 года. Мы провели исчерпывающее расследование и не заметили никакой активности злоумышленников с 26 октября 2022 года.
В ходе нашего расследования мы узнали гораздо больше о том, что произошло, и сегодня мы представляем новые результаты. В течение того же периода мы вложили значительные усилия в улучшение нашей безопасности и общей операционной безопасности. В этом обновлении я рассмотрю эти меры и выделю дополнительные шаги по безопасности, которые мы предпринимаем.
Это обновление имеет следующую структуру:
- Что произошло и какие действия мы предприняли?
- Какие данные были получены?
- Какие меры следует принимать для защиты себя или своего бизнеса?
- Что мы сделали, чтобы обеспечить безопасность LastPass
Мы услышали и серьезно отнеслись к обратной связи о том, что мы должны были чаще и более всесторонне информировать во время этого процесса. Длительность расследования оставила нас перед сложными компромиссами в этом отношении, но мы понимаем и сожалеем о том, что наши первоначальные коммуникации вызвали разочарование у бизнеса и потребителей, которые полагаются на наши продукты. Представляя эти дополнительные детали сегодня и в нашем подходе в будущем, мы решительно намерены поступать правильно по отношению к нашим клиентам и более эффективно общаться.
Если вы хотите перейти сразу к рекомендациям LastPass по защите вашей учетной записи или вашего бизнеса, пожалуйста, нажмите здесь для потребителей или здесь для администраторов бизнеса.
ЧТО ПРОИЗОШЛО И КАКИЕ МЫ ПРИНЯЛИ МЕРЫ?
Два инцидента, которые мы раскрыли в прошлом году, затронули LastPass и наших клиентов. Ни один из инцидентов не был вызван дефектом продукта LastPass или несанкционированным доступом или злоупотреблением системами производства. Вместо этого угроза была связана с использованием уязвимости в стороннем программном обеспечении, обходом существующих контролей и в конечном итоге получением доступа к средам не производства - среде разработки и резервному хранилищу.
Мы поделились технической информацией, индикаторами компрометации (IOCs) и тактиками, техниками и процедурами угрозы (TTPs) с правоохранительными органами и нашими партнерами по угрозам и форензике. Однако до сих пор идентичность угрозы и их мотивация остаются неизвестными. Не было никаких контактов или требований, и не было обнаружено никакой достоверной подпольной деятельности, свидетельствующей о том, что угроза активно занимается маркетингом или продажей любой информации, полученной в результате любого из этих инцидентов.
Описание первого инцидента: Корпоративный ноутбук инженера-программиста был скомпрометирован, что позволило злоумышленнику получить доступ к облачной среде разработки и украсть исходный код, техническую информацию и некоторые внутренние секреты системы LastPass. В ходе этого инцидента не были скомпрометированы данные клиентов или данные из хранилища, поскольку в среде разработки таких данных нет. Мы объявили этот инцидент закрытым, но позже выяснили, что информация, украденная в первом инциденте, была использована для выявления целей и запуска второго инцидента.
В ответ на первый инцидент мы мобилизовали наши внутренние команды по безопасности, а также ресурсы от компании Mandiant. В рамках процесса локализации, искоренения и восстановления мы предприняли следующие действия:
- Удалили среду разработки и создали новую, чтобы обеспечить полное ограничение и искоренение угрозы.
- Развернули дополнительные технологии и контроли, дополняющие существующие меры безопасности.
- Сменили все соответствующие открытые пароли, используемые нашими командами и любые обнаруженные сертификаты.
Краткое описание Инцидента 2: В ответ на второй инцидент мы вновь привлекли нашу команду реагирования на инциденты и компанию по кибербезопасности Mandiant. В рамках наших действий по сдерживанию, искоренению и восстановлению, связанных с вторым инцидентом, мы выполнили следующие меры:
- Проанализировали облачные ресурсы хранения LastPass и применили дополнительные политики и контрольные меры.
- Изменили секреты и сертификаты, которые могли быть скомпрометированы после атаки.
- Произвели анализ и изменили существующие контроли доступа с привилегированными правами.
К КАКИМ ДАННЫМ БЫЛ ДОСТУП?
Как указано в сводках инцидентов, злоумышленник украл как собственные данные LastPass, так и данные клиентов, включая следующие:Сводка данных, к которым был доступ в Инциденте 1:
- Облачные хранилища разработки и исходного кода по запросу - в том числе 14 из 200 хранилищ программного обеспечения.
- Внутренние скрипты из репозиториев - они содержали секреты и сертификаты LastPass.
- Внутренняя документация - техническая информация, описывающая, как работает среда разработки.
- Секреты DevOps - ограниченные секреты, которые использовались для доступа к нашему облачному хранилищу резервных копий.
- Облачное хранилище резервных копий - содержало данные конфигурации, секреты API, секреты интеграции сторонних производителей, метаданные клиентов и резервные копии всех данных хранилища клиентов. Все конфиденциальные данные хранилища клиентов, кроме URL-адресов, путей к файлам установленого ПО LastPass для Windows или macOS, а также определенных случаев использования адресов электронной почты, были зашифрованы с использованием нашей модели Zero Knowledge и могут быть расшифрованы только с помощью уникального ключа шифрования, производного от мастер-пароля каждого пользователя. Напомним, что мастер-пароли конечных пользователей никогда неизвестны LastPass и не хранятся или не поддерживаются LastPass, поэтому они не были включены в выведенные данные.
- Backup базы данных LastPass MFA/Federation содержал копии секретов аутентификации LastPass, телефонные номера, используемые для резервного варианта MFA (если включен), а также разделенный компонент знаний (ключ K2), используемый для федерации LastPass (если включен). Эта база данных была зашифрована, но ключ для расшифровки хранился отдельно и был включен в украденные данные угрозой во время второго инцидента.
КАКИЕ ДЕЙСТВИЯ СЛЕДУЕТ ПРЕДПРИНЯТЬ, ЧТОБЫ ЗАЩИТИТЬ СЕБЯ ИЛИ СВОЙ БИЗНЕС?
Чтобы лучше помочь нашим клиентам в их усилиях по реагированию на инциденты, мы подготовили два бюллетеня безопасности - один для наших пользователей Free, Premium и Families, и один настроенный для наших пользователей Business и Teams. Каждый бюллетень безопасности содержит информацию, которая поможет нашим клиентам защитить свой аккаунт LastPass и ответить на эти случаи безопасности таким образом, который, по нашему мнению, соответствует их личным потребностям или профилю их организации в области безопасности.
Бюллетень безопасности: Рекомендуемые действия для пользователей LastPass Free, Premium и Families Этот бюллетень направлен на наших клиентов Free, Premium и Families и содержит руководство по важным настройкам LastPass, которые помогут защитить их аккаунты путем подтверждения соблюдения лучших практик.
Бюллетень безопасности: Рекомендуемые действия для бизнес-пользователей LastPass Этот бюллетень направлен на администраторов наших клиентов Business и Teams и содержит руководство по оценке рисков конфигураций аккаунтов LastPass и сторонних интеграций. Он также содержит информацию, которая актуальна как для нефедеративных, так и для федеративных клиентов.
Если у вас есть вопросы по рекомендуемым действиям, обратитесь в службу технической поддержки или в команду успеха клиента, которые готовы помочь.
ЧТО МЫ СДЕЛАЛИ ДЛЯ БЕЗОПАСНОСТИ LASTPASS
С момента августа мы внедрили несколько новых технологий безопасности на нашей инфраструктуре, в наших центрах обработки данных и в облачных окружениях, чтобы еще больше улучшить нашу защиту. Большая часть этого была запланирована и была выполнена в рекордно короткие сроки, так как мы начали эти усилия до первого инцидента.Мы также приоритезировали и начали значительные инвестиции в области безопасности, конфиденциальности и лучших операционных практик. Мы провели всесторонний обзор наших политик безопасности и внесли изменения, чтобы ограничить доступ и привилегии, где это необходимо. Мы провели всеобъемлющий анализ существующих контролов и конфигураций, и мы внесли необходимые изменения, чтобы укрепить существующие среды. Мы также начали работу по расширению использования шифрования в нашем приложении и инфраструктуре резервного копирования. Наконец, мы начали планирование долгосрочных архитектурных инициатив, которые помогут продвинуть нашу эволюцию платформы LastPass.
Вы можете нажать здесь, чтобы увидеть список выполненных работ и работ, которые находятся в нашей дорожной карте безопасности.
ЧТО ВЫ МОЖЕТЕ ОЖИДАТЬ ОТ НАС В ДАЛЬНЕЙШЕМ
С момента нашей публикации 22 декабря я общался с многими нашими корпоративными и потребительскими клиентами. Я признаю, что наши клиенты чувствуют разочарование из-за нашей неспособности своевременно, более четко и всесторонне общаться в ходе этого события. Я принимаю критику и полностью несу ответственность. Мы многому научились и обязуемся вести более эффективную коммуникацию в будущем. Сегодняшнее обновление - демонстрация нашей приверженности этому.
Немного более года назад GoTo и ее инвесторы объявили, что LastPass станет независимой компанией с новой командой руководства. Наша цель - раскрыть полный потенциал компании и выполнить обещание создания ведущей платформы управления паролями предприятия. В конце апреля 2022 года я присоединился в качестве генерального директора, чтобы помочь руководить этим процессом.
За последние восемь месяцев мы наняли новых лидеров, которые помогут продвинуть рост компании и выполнить новую стратегию. Наша новая команда включает в себя признанных ветеранов и лидеров отрасли безопасности и технологий. В рамках следующей фазы развития компании мы выделили многомиллионный бюджет на улучшение наших инвестиций в области безопасности среди людей, процессов и технологий. Эта инвестиция подтверждает наше обязательство превратить LastPass в ведущую кибербезопасную компанию и обеспечить, чтобы мы были в состоянии защитить себя и наших клиентов от будущих угроз.
Спасибо за ваше понимание, помощь и постоянную поддержку.
Карим Тубба Генеральный директор, LastPass
