LastPass и урок хранения секретов: что случилось и что из этого следует
Взлом LastPass в 2022 году стал одним из самых обсуждаемых инцидентов в сфере управления паролями. Разбираю, что произошло и какие выводы важны для бизнеса.
В конце 2022 года компания LastPass раскрыла подробности взлома, который оказался значительно серьёзнее, чем казалось в первых сообщениях. Злоумышленники получили доступ к зашифрованным хранилищам паролей пользователей. Детали раскрывались постепенно, и к началу 2023 года картина стала достаточно полной, чтобы делать выводы.
Я не занимаюсь анализом конкретных инцидентов как таковых, но этот случай поднимает вопросы, которые важны для любой компании - вне зависимости от того, пользовалась ли она LastPass.
Что произошло
Злоумышленники получили доступ к среде разработки через скомпрометированный аккаунт разработчика, а затем использовали эти данные для атаки на производственную среду. В итоге были похищены зашифрованные хранилища паролей пользователей, а также метаданные: URL сайтов, имена пользователей, адреса электронной почты.
Зашифрованные хранилища защищены мастер-паролем пользователя. Если мастер-пароль слабый или повторно используется - атака методом перебора становится реалистичной.
Этот инцидент показал несколько вещей одновременно: уязвимость цепочки от среды разработки до производственной среды, проблему с сегрегацией доступа, и ограничения модели "доверяем провайдеру хранить наши секреты".
Почему это касается любого бизнеса
Большинство компаний хранят критически важные секреты где-то. Пароли от баз данных, ключи API к внешним сервисам, учётные данные облачной инфраструктуры. Вопрос не в том, есть ли у вас эти секреты - они есть у всех. Вопрос в том, как они хранятся и кто имеет к ним доступ.
Типичная картина, которую я вижу: часть секретов - в менеджере паролей команды, часть - в головах людей, часть - в текстовых файлах на компьютерах разработчиков, часть - захардкожена в коде или в конфигурационных файлах, которые иногда попадают в репозиторий.
Это не паранойя, это реалистичное описание большинства компаний с небольшой или средней ИТ-командой.
Что стоит проверить
Три вопроса, которые я рекомендую задать своей ИТ-команде:
Первый: где хранятся ключи и учётные данные для критических систем - облако, базы данных, платёжная инфраструктура? Это должен быть конкретный ответ, а не "у соответствующих людей".
Второй: что произойдёт, если сотрудник, у которого есть доступ к этим секретам, уволится сегодня? Существует ли процесс ротации учётных данных при увольнении?
Третий: есть ли в компании практика минимальных привилегий - то есть каждый сервис и каждый человек имеет доступ только к тому, что ему действительно необходимо, и не более?
Практический минимум
Инцидент с LastPass не означает, что менеджеры паролей плохи. Они значительно лучше альтернатив для большинства компаний. Но он напоминает о нескольких вещах.
Секреты производственных систем не должны жить в тех же местах, что и личные пароли сотрудников. Для производственных систем есть специализированные решения - vault-системы, которые обеспечивают аудит доступа, ротацию секретов и ограничение по принципу минимальных привилегий.
И главное: знать, где лежат ваши критические секреты, - это базовая гигиена, а не паранойя.