„Wyciek” haseł głównych LastPass okazał się błędem oprogramowania

Użytkownicy menedżera haseł LastPass mogli w ostatnim czasie otrzymać alerty informujące, że ktoś z nieznanej lokalizacji próbował zalogować się na ich konto z użyciem hasła głównego. Komunikat wyglądał w ten sposób:

Informacje od zaniepokojonych użytkowników pojawiły się w dość dużych ilościach; najistotniejsze opisy i wczesne przypuszczenia zgromadzono w tym wątku na Hacker News. Masowe próby logowania mogą być skutkiem wycieku danych. Na szczęście nic takiego podobno nie miało miejsca. W pierwszym komunikacie firma LogMeIn, czyli właściciel LastPass (co może się zmienić), sugerowała aktywność botów używających danych pochodzących z wycieków z innych usług oraz brak śladów przejęć kont.

Co prawda według BleepingComputer użytkownicy stosowali całkowicie inne, niewykorzystywane w pozostałych miejscach, hasła główne. Możliwe jednak, że ewentualny bot tak naprawdę próbował łamać hasła zamiast wykorzystywać gotowe listy z wycieków danych. Mimo wszystko redaktorzy nie otrzymali wyjaśnień w tej kwestii. Z kolei badacz Bob Diachenko zwrócił uwagę na powiązanie malware’u Redline Stealer z tą sytuacją.

To złośliwe oprogramowanie wykradające poświadczenia zapisane we wbudowanych w przeglądarki menedżerach haseł, które zresztą niedawno „przypomniało” o swoim istnieniu. W każdym razie w logach z działania malware’u znaleziono podobne do tego wpisy:

This means that, at least in the case of some of these reports, the threat actors behind the takeover attempts used some other means to steal their targets’ master passwords.

Jeśli atakujący uzyskałby dostęp do lastpass.com w ten sposób, nie mógłby zmienić hasła głównego bez podania aktualnego, więc nie uzyskałby też dostępu do zapisanych danych.

W przypadku części osób hasło główne zostało ponadto zmienione wkrótce po otrzymaniu alertu. Dla niektórych ta wpadka była powodem skorzystania z innego rozwiązania do zarządzania hasłami. Pojawiły się jednak problemy z usuwaniem konta LastPass:

Przypomina się też podatność z września 2019 roku, o której pisaliśmy na Sekuraku; wówczas krótkim fragmentem kodu JavaScript można było „wyciągnąć” zapisane w rozszerzeniu LastPass dane.

29 grudnia pojawiło się jednak ostateczne oświadczenie firmy. Najważniejsze fragmenty brzmią:

[…] we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.

Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

Z wypowiedzi wynika, że alerty o rzekomych próbach logowania były wynikiem błędu. Według autora powyższego oświadczenia bezpieczeństwo danych nie zostało naruszone, co jest zdecydowanie dobrą informacją. Niestety zaufanie niektórych użytkowników może być już ciężko odbudować. Od produktów bezpieczeństwa oczekuje się stosowania dobrych praktyk, więc reakcji pewnych osób należało się spodziewać.

Nie znamy technicznych szczegółów wystąpienia błędu, czyli nie można podać jednoznacznej porady, jak go uniknąć. Na pewno należy monitorować aktywność, ustawić alerty na nagłą wysyłkę dużej liczby wiadomości z jednego adresu w krótkich odstępach. Może zapobiec to podobnym sytuacjom jak to opisana. Zaleca się też skonfigurowanie 2FA czy U2F (LastPass wspiera te metody), aby w wypadku prawdziwego ataku mieć dodatkowe zabezpieczenie. Uzyskanie dostępu do menedżera haseł jest równoznaczne z uzyskaniem dostępu do wszystkich zapisanych w nim danych.

Osobom, które do tej pory korzystały z LastPass lub chciałyby zacząć używać menedżerów haseł, polecamy obszerne poradniki dotychczas opublikowane na Sekuraku. W pierwszym omówiono Bitwarden, natomiast kolejny poświęcony jest KeePassXC. Menedżer haseł będzie przechowywał wszelkie dostępy (niektóre również notatki czy np. dane karty kredytowej), więc nie ma konieczności ich zapamiętywania. Wystarczy pamiętać jedno hasło główne. Generowane hasła będą również silne.

–Michał Giza