Esta história é mais do que sobre a conta Plex de um funcionário
Fonte: LastPass
O LastPass sofreu uma queda em sua reputação de um dos grandes gerenciadores de senhas do mercado, tornando-se atolado na infâmia após não uma, mas duas violações massivas de dados no ano passado. Aprendemos mais detalhes sobre o segundo incidente na semana passada – uma pessoa mal-intencionada instalou um keylogger no computador doméstico de um engenheiro sênior por meio de uma exploração no Plex, o serviço de nuvem pessoal para armazenamento e streaming de filmes, e conseguiu invadir caches de nível corporativo como um resultado. Mas acontece que o engenheiro também teve um grande papel a desempenhar nessa grande falha.
Plex revelou que o exploit em questão se aproveitou de uma vulnerabilidade divulgada em 7 de maio de 2020. A empresa disse à PCMag que, por algum motivo, o funcionário do LastPass nunca atualizou seu cliente para aplicar o patch.
A brecha permitia que aqueles com acesso à conta Plex de um administrador de servidor fizessem upload de um arquivo malicioso por meio do recurso Camera Upload e, ao sobrepor os locais do diretório de dados do servidor com uma biblioteca que permitia uploads de câmeras, fazer com que o servidor de mídia o executasse.
A empresa lançou o Plex Media Server v1.19.3 naquele mesmo dia para corrigir a lacuna.
“Para referência, a versão que abordou essa exploração foi de aproximadamente 75 versões atrás”, disse um porta-voz do LastPass.
O LastPass se recusou a comentar as novas informações.
O que é evidente para nós é que a cadeia de eventos que levou a essa violação começou desde o início: o LastPass permitiu que esse funcionário sênior acessasse superfícies de trabalho privilegiadas por meio de seu computador pessoal, abrindo a possibilidade de alguém obter acesso à conta Plex desse funcionário , para executar um exploit com patch antigo que funcionou devido à negligência do mencionado acima e obter acesso irrestrito a essas superfícies de trabalho a partir daí.
Cada etapa dessa sequência foi marcada por uma decisão que pode ter sido justificada por um motivo ou outro na época. Mas do jeito que as coisas se desenvolveram, o LastPass precisará de uma pá maior se quiser sair desse buraco.
[ad_2]
