LastPass가 또 다른 데이터 유출을 사용자에게 통지함

• LastPass 사용자는 외부 파트너 Klue 침해 사고로 개인 데이터와 지원 케이스 데이터가 노출됐다는 통지를 받음
• 이번 사고의 접근 범위는 표준 비즈니스 연락처 정보, CRM 데이터, 지원 케이스 데이터, 영업 관련 데이터로 제한됐으며 비밀번호 금고는 영향받지 않음
• 노출 항목에는 고객 이름, 전화번호, 이메일 주소, 실제 주소가 포함되고, Klue 플랫폼은 Salesforce와 Gong 시스템에 통합돼 있음
• 사고 인지 후 LastPass는 직원의 Klue 접근을 취소하고 노출된 API 토큰을 교체했으며, 법 집행기관 통지와 Klue·Salesforce를 통한 조사를 진행함
• 유출된 연락처 정보는 피싱과 사회공학 공격에 악용될 수 있어, 고객과 기업은 공유된 공격 지표를 확인할 필요가 있음

Klue 침해 사고와 LastPass 대응

• 시장조사 기업 Klue에서 발생한 침해 사고의 영향으로 LastPass가 해당 사용자에게 이메일을 발송함
• 해커는 침해를 통해 고객 정보와 지원 케이스 데이터에 접근할 수 있었음
• 접근된 정보는 다음 범위로 제한됨
  • 고객 이름, 전화번호, 이메일 주소, 실제 주소
  • 고객 관계 관리(CRM) 데이터
  • 지원 케이스 데이터
  • 영업 관련 데이터
• 이번 사고에서 LastPass의 비밀번호 금고는 영향받지 않음
• Klue 플랫폼은 Salesforce 및 Gong 시스템과 통합돼 있음
• LastPass는 사고 대응으로 접근 차단과 조사 절차를 진행함
  • 직원의 Klue 접근 권한 취소
  • 노출된 API 토큰 교체
  • 법 집행기관 통지
  • Klue 및 Salesforce 접촉을 통한 사고 범위 조사

공격 지표와 과거 보안 사고

• 고객은 유출 정보를 활용한 피싱 공격 또는 사회공학 시도에 주의해야 함
• 기업이 관련 활동을 시스템에서 검색할 수 있도록 공격자 관련 지표가 공유됨
  • IP 주소:
    • 138.226.246[.]94
    • 94.154.32[.]160
    • 159.183.215[.]61
    • 159.183.181[.]239
  • 이메일 발신 도메인:
    • baccarat.com[.]au
    • robinskitchen.com[.]au
    • house.com[.]au
• LastPass는 과거에도 여러 차례 보안 사고를 겪음
  • 2015년에는 계정 이메일 주소, 비밀번호 힌트, 인증 해시, 암호화 솔트가 탈취됐으나 암호화된 금고 데이터에는 접근이 없었음
  • 2022년에는 공격자가 개발자 계정을 침해해 소스 코드와 기술 정보를 훔쳤고, 이후 이를 이용해 고객 기록과 암호화된 비밀번호 금고가 포함된 클라우드 백업에 접근함
  • 같은 2022년 사고에는 이름, 청구 주소, 이메일 주소, 전화번호 같은 비암호화 정보도 포함됨