LastPass 데이터 유출사고, 암호 관리자 보안에 의문을 품다.
LastPass Breaches Cast Doubt on Password Manager Safety

2022년, LastPass는 사이버 전문가와 유출 사고의 영향을 받았던 이들이 우려 했었던 일련의 보안 유출사고를 겪었습니다. 일부는 LastPass가 유출사고를 처리하고 대응하는 방식에 대해 의문을 제기했습니다. 또한 상황은 암호 관리자 사용과 관련된 리스크에 대해 더 광범위한 대화로 넓혀 나갔습니다.

암호 관리자는 사용자가 강력한 암호를 생성하고, 디지털 락커 내에서 생성된 암호를 보호해 줍니다. 마스터 암호는 모든 데이터를 보호 하므로 사용자는 다른 계정의 모든 암호에 편리하게 액세스 할 수 있습니다. 비밀번호 관리자는 또한 비밀번호를 주기적으로 변경하도록 알려줍니다. 수 년동안 보안 전문가들은 암호 관리자 사용을 권장 했습니다.

이제 LastPass 유출 사고의 여파로 이 조언을 다시 검토해봐야 할  가치가 있습니다.

In 2022, LastPass suffered a string of security breaches which sparked concern among cyber professionals and those impacted by the intrusions. Some called into question the way LastPass handled and responded to the incident. In addition, the situation ignited a wider conversation about the risks linked to utilizing password managers.

A password manager helps users generate strong passwords and safeguards them within a digital locker. A master password secures all data, which enables users to conveniently access all their passwords for other accounts. Password managers even remind you to renew your passwords periodically. For years, security experts have recommended the use of password managers.

Now, in the wake of the LastPass breach, it might be worth revisiting this advice.

LastPass 보안 유출 사고

LastPass Security Breach Events

2022년 8월 말,  LastPass는 해커가 손상된 개발자의 계정을 통해 회사 개발 환경의 일부에 진입했다고 발표했습니다. 이 유출로 인해 해커는 LastPass 소스 코드 및 소유하고 있는 기술 정보 일부에 액세스 할 수 있었습니다. 처음 유출 사고 이후 회사는 고객에게 상황을 억제 했다고 안심 시켰습니다. 공격으로 인해 사용자의 데이터와 암호 저장소가 침해된 징후는 없어 보였습니다 

2022년 9월, LastPass는 사고 대응 회사, Mandiant의 도움을 받아 유출에 대한 철저한 조사와 포렌식 감사를 진행했다고 발표했습니다. LastPass는 공격자의 추가적인 활동 징후를 발견하지 못했고, 물리적으로 운영 환경으로부터 분리된 개발 시스템에 무단 접근이 제한 되었다고 밝혔습니다.

11월 말, LastPass CEO, Karim Toubba가 허가 받지 않은 개인이 타사 클라우드 스토리지 장치에 대한 접근 권한을 획득하여 고객 정보 일부를 유출 시켰다고 발표하면서 상황은 악화되었습니다. 고객 데이터나 암호가 유출된 징후는 아직 없었습니다. 그러나 크리스마스 직전에 LastPass는 해커가 실제로 사용자 이름, 비밀번호, 메모를 포함한 암호화된 고객 정보 뿐만 아니라 고객 온라인 계정 URL과 같은 암호화 되지 않은 데이터 모두에 접근할 수 있다고 사용자에게 알렸습니다.

In late August of 2022, LastPass announced that hackers had gained entry to parts of the company’s development environment through a compromised developer account. This breach gave the attacker access to parts of the LastPass source code and proprietary technical information. After this first breach, the company reassured its customers that they had contained the situation. Apparently, there was no sign that the attack had compromised customer data or the encrypted password vaults.

In September 2022, LastPass announced that it underwent a thorough investigation and forensic review of the breach with the help of incident response firm Mandiant. LastPass stated they discovered no additional indications of activity from the attacker. Also, the unauthorized access was restricted to its development system, which is physically separated from its production environment.

The situation took a turn for the worse at the end of November when LastPass CEO, Karim Toubba, disclosed that an unauthorized individual had obtained access to a third-party cloud storage device, compromising certain aspects of its customer information. Apparently, there was still no sign that customer data or passwords had been compromised. But just before Christmas, LastPass informed its users that hackers had indeed gained access to both encrypted customer information, including username, password and notes, as well as unencrypted data, such as the URLs of customers’ online accounts.

어떻게 LastPass를 완전히 해킹할 수 있었을까

How They Hacked Deeper Into LastPass

LastPass는 원래 8월에 도난 당한 소스 코드와 기술 정보는 다른 직원을 타겟으로 삼는 데 사용되었다고 밝혔습니다. 이를 통해 해커는 자격 증명과 키를 얻을 수 있었고, 회사 클라우드 기반 스토리지 서비스 내에서 스토리지 볼륨 접근 권한 및 해독할 수 있게 되었습니다. 그 결과 공격자는 고객 저장소 데이터를 빼낼 수 있었습니다.

유출 사고로 인해 LastPass 고객의 로그인 자격 증명은 높은 위험에 노출되었습니다. 사용자의 마스터 암호 만이 LastPass가 저장하지 않는 자격 증명을 잠재적으로 보호합니다. 그러나 공격자가 마스터 암호를 손상시키면 암호 관리자에 저장된 모든 계정의 로그인 자격 증명을 성공적으로 해독할 수 있게 됩니다.

LastPass stated that the source code and technical information originally stolen in August were used to target another employee. This allowed the intruders to obtain credentials and keys. This gave them access and the ability to decrypt storage volumes within the company’s cloud-based storage service. As a result, the intruders were able to exfiltrate customer vault data.

The breach puts LastPass customers’ login credentials at high risk. Only a user’s master password potentially protects their credentials, which LastPass does not store. But if attackers compromise the master password, they will be able to successfully decrypt login credentials for all accounts stored in the password manager.

LastPass의 대응 및 권고

LastPass Response and Recommendations

LastPass는 유출 사고에 대응하여, 12월 성명서에서 다음과 같이 발표 했습니다.

• 기존 개발 환경 폐기 및 처음부터 새로운 개발 환경 재구축으로 더 이상의 잠재적인 접근 근절
• 더 강화된 개발자 시스템, 프로세스 및 인증 메커니즘으로 교체
• 허가되지 않은 활동 탐지 지원 추가 로그 기록 및 경고 기능 추가
• 유출 사고 영향을 받았을 가능성이 있는 모든 관련 자격 증명 및 인증서 적극 교체 및 기존 엔드 포인트 보안 보완
• 모든 계정에 대해 사내 클라우드 스토리지 서비스 내에 의심스러운 활동 징후를 감지하기 위한 철저한 분석 수행
  
  

In response to the breach, according to the December statement, LastPass has:

• Eradicated any further potential access to the company’s development environment by decommissioning the environment and rebuilding a new environment from scratch
• Replaced and further hardened developer machines, processes and authentication mechanisms
• Added additional logging and alerting capabilities to help detect any further unauthorized activity
• Actively rotated all relevant credentials and certificates that may have been affected and supplemented existing endpoint security
• Performed an exhaustive analysis of every account to detect signs of any suspicious activity within the company’s cloud storage service.

LastPass는 사용자에게 다음과 같이 전달했습니다.

• 2018년부터 회사는 마스터 암호에 대해 최소 12자를 요구해, 브루트포스와 같은 공격에 대한 성공률을 최소화 했습니다
• 마스터 암호 보안을 더욱 강화하기 위해 LastPass는 마스터 암호를 추측하기 어렵게 만드는 암호 강화 알고리즘인 암호 기반 키 파생 기능(PBKDF2)의 일반적인 100,100회 반복 구현을 활용합니다.
• 고객은 마스터 암호를 절대 재사용 해서는 안 됩니다. 마스터 암호가 재사용 되고 해당 암호가 손상되면 공격자는 이미 인터넷에서 나와있는 유출된 자격 증명을 사용하여 계정 액세스를 시도할 수 있습니다. (크리덴셜 스터핑 공격)
  
  

LastPass communicated to all its users that:

• Since 2018, the company has required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute-force password guessing.
• To further increase master password security, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess a master password.
• Customers should never reuse their master password. If a master password is reused and that password is compromised, a threat actor could use compromised credentials that are already available on the Internet to attempt account access (this is referred to as a “credential stuffing” attack).

Microsoft의 다른 강력한 암호 설정에는 다음이 포함됩니다:

• 대문자, 소문자, 숫자 및 기호 조합 사용
• 사전에서 찾을 수 있는 단어나 사람, 캐릭터, 제품, 조직 단체 이름 사용 피하기
• 이전과는 완전히 다른 암호 선택 사용
• "6MonkeysRLooking^"과 같이 기억하기는 쉽지만 다른 사람이 추측 하기엔 어려운 문구 사용
  
  

Other strong password practices, as per Microsoft, include:

• Using a combination of uppercase letters, lowercase letters, numbers and symbols
• Avoiding the use of a word that can be found in a dictionary or the name of a person, character, product or organization
• Choosing a password significantly different from your previous passwords
• Making it easy to remember but difficult for others to guess. Consider using a memorable phrase like “6MonkeysRLooking^”.

계속되는 암호 관리자에 관한 논쟁

The Ongoing Password Manager Debate

LastPass 유출 사고로 보아, 기업은 암호 관리자를 포기해야 할까요?  요즘엔 누구도 공격에 영향을 받지 않는다고 말할 수 없습니다. 모든 기업은 언제든지 공격 받을 수 있습니다. 하지만 일부 사람들은  LastPass가 보다 더 효과적인 방식으로 사고를 처리할 수 있었다고 생각합니다. .

안타깝게도 100% 안전한 비밀번호 관리 솔루션은 없습니다. 예를 들어 디바이스 관리자는 암호를 디바이스에 로컬로 저장하고 관리합니다. 이렇게 하면 LastPass와 같은 유출 위험을 피할 수 있습니다. 그러나 기기가 분실되거나 손상 혹은 액세스할 수 없게 되면 모든 비밀번호도 잃게 됩니다.
Infostealer 멀웨어의 급속한 증가로 인해 모든 디바이스 암호 저장소가 유출 위험에 노출됩니다.

대체적으로, 전문가들은 여전히 비밀번호 관리자가 좋은 방법이라고 생각합니다. 비밀번호 보안 뿐만 아니라 사용의 편의성도 제공합니다. 암호 변경 알림, 암호 생성 도구 및 장치 동기화와 같은 기능 등 암호 관리자는 여전히 많은 이점을 가지고 있습니다. 패스워드리스 솔루션도 위험 요소가 없는 것은 아닙니다.

사이버 보안 전문가는 일반적으로 크랙하기 매우 어려운 AES-256 암호화를 사용하기 때문에 클라우드 기반 암호 관리자가 안전하다고 생각합니다. 관리자는 당신의 데이터에 엑세스 할 수 없는 영지식(Zero-Knowledge) 원칙에 따라 작동하는 암호 관리자를 선택하는 것이 중요합니다. 또한 데이터는 캡처에 취약할 수 있으므로, 공용 네트워크에서 암호 관리자에 액세스 하지 않는 것이 가장 좋습니다.

Given the LastPass breaches, should companies abandon password managers? These days, nobody can say they are impervious to attack. Any company might get hacked at any time. However, some feel LastPass could have handled the incident in a more effective way.

Unfortunately, there is no 100% secure password management solution. For example, a device-based manager stores and manages passwords locally on the device. This would avoid the risk of a LastPass-like breach. But if your device is lost, corrupted or becomes inaccessible, you lose all your passwords as well. And the rapid rise of infostealer malware places any device-based password storage at risk.

Overall, experts still consider password managers to be good practice. They not only provide password security but also ease of use. With features like password change reminders, password generation tools and device syncing, password managers still have many advantages. And even passwordless solutions aren’t without their risks.

Cybersecurity experts generally consider cloud-based password managers to be safe and secure, as they typically use AES-256 encryption, which is very difficult to crack. It’s important to choose a password manager that operates on a zero-knowledge principle, meaning the manager should not have access to your data. Also, it’s best to avoid accessing your password manager on public networks, as your data may be vulnerable to capture.

암호에만 의존하지 마세요.
Don’t Count On Passwords Alone

어떤 암호 솔루션도 완벽하지 않기 때문에 다단계 인증(MFA) 및 최소 권한 원칙(least-privilege principle)과 같은 다른 보안 전략을 구현하는 것이 중요합니다. 최소 권한은 리소스에 대한 액세스를 요청하는 사용자가 필요한 최소한의 권한만 받는 것을 의미합니다. 그리고 이 권한은 필요한 최단 기간 동안만 유효해야 합니다. 고급 최소 권한 보안 환경은 LastPass 유출 공격을 막을 수 있었을 겁니다. 

As no password solution is bulletproof, it’s important to implement other security strategies, such as multifactor authentication and least-privilege principles. Least privilege means a user that requests access to a resource receives only the minimum necessary rights. And privilege should be in effect for the shortest duration necessary. An advanced least-privilege security environment may have prevented the LastPass intruders from moving laterally. All shields up!

https://securityintelligence.com/news/lastpass-breaches-cast-doubt-on-password-manager-safety/