Ảnh minh họa. TechRadar

Theo ICO, sự cố này đã ảnh hưởng tới dữ liệu cá nhân và các “kho mật khẩu” được mã hóa của tối đa 1,6 triệu người dùng tại Anh, trong tổng số hàng chục triệu người dùng LastPass trên toàn cầu.

ICO: Biện pháp bảo mật của LastPass “chưa đủ mạnh”

Kết luận điều tra cho thấy LastPass không triển khai đầy đủ các biện pháp kỹ thuật và tổ chức cần thiết để bảo vệ hệ thống trước nguy cơ tấn công mạng. Ông John Edwards, người đứng đầu ICO, nhấn mạnh: “Một công ty cam kết giúp người dùng nâng cao an ninh mạng lại đã không thực hiện được chính cam kết đó.”

Theo cơ quan quản lý, người dùng LastPass hoàn toàn có quyền kỳ vọng dữ liệu cá nhân của họ được bảo vệ ở mức cao nhất, đặc biệt khi đây là dịch vụ lưu trữ mật khẩu.

Những sai sót dẫn tới vụ xâm nhập nghiêm trọng

Vụ việc diễn ra theo hai giai đoạn, xuất phát từ cả yếu tố con người lẫn kỹ thuật.

Giai đoạn đầu (tháng 8/2022):

Tin tặc xâm nhập thành công vào một máy tính xách tay công ty của lập trình viên LastPass tại châu Âu, đánh cắp một phần mã nguồn và thông tin nội bộ. Ở thời điểm này, dữ liệu khách hàng chưa bị ảnh hưởng trực tiếp.

Giai đoạn thứ hai:

Kẻ tấn công sử dụng thông tin thu được để nhắm vào một kỹ sư cao cấp tại Mỹ, một trong số rất ít nhân sự có quyền truy cập các khóa giải mã quan trọng.

Tin tặc đã xâm nhập máy tính cá nhân của nhân viên này bằng cách khai thác lỗ hổng đã biết trong một ứng dụng bên thứ ba, được cho là Plex Media Server.

Sau khi xâm nhập, kẻ tấn công cài keylogger (phần mềm ghi lại thao tác bàn phím) để thu thập mật khẩu chủ (master password), đồng thời đánh cắp cookie thiết bị tin cậy, qua đó vượt qua cơ chế xác thực đa yếu tố (MFA).

Do nhân viên này dùng chung một mật khẩu chủ cho cả tài khoản cá nhân và tài khoản công việc, tin tặc đã truy cập được kho dữ liệu nội bộ của LastPass, chiếm đoạt khóa truy cập Amazon Web Services (AWS) và khóa giải mã cần thiết để tiếp cận dữ liệu khách hàng.

Theo thông tin công bố, dữ liệu bị lộ bao gồm: họ tên người dùng, tên công ty; địa chỉ thanh toán; số điện thoại, email; địa chỉ IP người dùng sử dụng để truy cập dịch vụ; các kho mật khẩu được mã hóa của khách hàng

Mật khẩu gốc vẫn được bảo vệ, nhưng tồn tại các lỗ hổng bảo mật

ICO cho biết LastPass đã không kiểm soát chặt chẽ quyền truy cập hệ thống, cho phép các yếu tố con người, cụ thể là nhân viên sử dụng thiết bị cá nhân và tái sử dụng thông tin đăng nhập nhiều lần làm suy yếu toàn bộ hệ thống bảo mật.

Tuy vậy, CEO LastPass Karim Toubba khẳng định mật khẩu gốc của người dùng không bị lộ, nhờ cơ chế mã hóa “zero-knowledge” - theo đó mật khẩu chủ chỉ do người dùng biết và không bao giờ được lưu trên máy chủ của LastPass.

ICO cũng lưu ý, mức phạt ban đầu đề xuất là 2,6 triệu bảng, nhưng đã được giảm xuống còn 1,2 triệu bảng do LastPass triển khai một số biện pháp khắc phục và phòng ngừa sau sự cố.

Bài học cảnh báo cho các doanh nghiệp

Quyết định xử phạt của ICO một lần nữa nhấn mạnh thực tế: “Bề mặt tấn công từ con người” bao gồm thiết bị cá nhân, mạng gia đình và thói quen bảo mật của nhân viên thường là mắt xích yếu nhất, ngay cả trong những hệ thống được coi là an toàn nhất.

Đối với các doanh nghiệp công nghệ, đặc biệt là đơn vị cung cấp dịch vụ bảo mật, việc kiểm soát nghiêm ngặt quyền truy cập, tách biệt môi trường làm việc với hoạt động cá nhân và nâng cao nhận thức an ninh cho nhân viên là yêu cầu không thể bỏ qua.

An Lâm (Theo Hack Read)