암호 관리 시스템인 라스트패스(LastPass)는 2022년 8월 소스 코드 유출이 판명되고 12월에는 사용자 정보 유출이 판명됐다고 잇따라 보고되고 있다. 새롭게 라스트패스는 일련의 정보 유출이 직원 PC가 공격되고 키로거가 탑재됐다고 발표했다.
라스트패스는 웹서비스 암호 정보를 저장하는 서비스다. 라스트패스 서버에 사용자 암호가 암호화된 상태로 저장된다. 그런데 2022년 8월에는 라스트패스 소스 코드가 도난당한 게 판명됐다. 또 2022년 12월에는 사용자 비밀번호를 포함한 개인 정보 유출이 발표됐다.
라스트패스는 새롭게 일련의 정보 유출이 직원 PC가 해킹됐기 때문이라고 발표했다. 라스트패스는 아마존 클라우스 서비스인 아마존S3을 이용하고 있으며 직원 4명에게 아마존S3 액세스키를 할당하고 있었다고 한다. 하지만 4명 중 1명 가정용 PC가 해킹되어 키로거를 탑재한 결과 아마존S3 액세스키가 도난당해 버렸다.
공격자는 훔친 액세스키를 이용해 라스트패스 백업 데이터와 사내 공유 데이터 등을 탈취했다. 이 때 공격자는 관리자 액세스키를 이용해 각종 데이터에 액세스하고 있었기 때문에 비정상적인 동작이 검출되지 않아 문제 발견 지연으로 이어졌다고 밝히고 있다.
라스트패스는 PC 해킹 직원과 아마존S3 보안 강화를 실시했다고 한다. 또 라스트패스 사용자에게도 마스터 비밀번호 변경과 2단계 인증 활성화 같은 보안 강화를 요청했다. 관련 내용은 이곳에서 확인할 수 있다.