thehackernews.com/2023/03/last

описано каким-то ломанным языком, так что могу в деталях напортачить, поправьте меня.

Суть сводится к тому, что утечка #LastPass произошла из-за того, что:

- девопс использовал на личном компе #plex который никогда не обновлял (минимум 3 года)

- каким-то образом — не раскрывается каким — вредоносный файл был залит на сервер Plex (который крутился прям на личном компе, судя по всему) через фичу CameraUpload. Она есть у всех синхронизаторов типа Яндекс.Диск и Дропбокс. Они все следят за папкой камер и заливают контент оттуда автоматически

- в Плексе была уязвимость, исправленная 7 марта 2020-го: файлы, которые заливаются через КамераАплоад, автоматически исполняются сервером с правами текущего пользователя. Тут ещё один вопрос, конечно. Текущий пользователь - это SYSTEM (текущий для сервисов в Виндовс) и аналог или тот, с чьими правами гуй работает? Ну да для этой истории не важно

Таким образом был запущен келоггер на компе девопса и который спёр креды. Потому что Плекс запустил этот кейлоггер из КамераАплоад. Далее злоумышленник просто использовал эти креды для доступа и в декабре 2022 ЛастПасс сообщил о том, что сорян, файлы пользователей в публичном доступе.

Сам Плекс заявил, что "...эта уязвимость была исправлена 75 версий назад".