LastPass enthüllt, wie es gehackt wurde – und das sind keine guten Nachrichten
Letztes Jahr war für den Passwort-Manager LastPass ein besonders schlechtes Jahr, da eine Reihe von Hacking-Vorfällen einige ernsthafte Schwachstellen in seiner angeblich felsenfesten Sicherheit offenbarten. Jetzt wissen wir genau, wie diese Angriffe abliefen – und die Fakten sind ziemlich atemberaubend.
Alles begann im August 2022, als LastPass enthüllte, dass ein Angreifer den Quellcode der App gestohlen hatte. Bei einem zweiten, nachfolgenden Angriff kombinierte der Hacker diese Daten mit Informationen, die er bei einer separaten Datenpanne gefunden hatte, und nutzte dann eine Schwachstelle in einer Fernzugriffs-App aus, die von LastPass-Mitarbeitern verwendet wurde. Dadurch konnten sie einen Keylogger auf dem Computer eines leitenden Ingenieurs des Unternehmens installieren.
Sobald dieser Keylogger installiert war, konnten die Hacker das LastPass-Master-Passwort des Ingenieurs bei der Eingabe abrufen und ihm Zugriff auf den Tresor des Mitarbeiters gewähren – und alle darin enthaltenen Geheimnisse.
Sie nutzten diesen Zugriff, um den Inhalt des Tresors zu exportieren. Eingebettet in die Daten waren die Entschlüsselungsschlüssel, die zum Entschlüsseln von Kunden-Backups benötigt werden, die im Cloud-Speichersystem von LastPass gespeichert sind.
Das ist wichtig, weil LastPass Produktionssicherungen und kritische Datenbanksicherungen in der Cloud aufbewahrt. Auch eine große Menge sensibler Kundendaten wurde gestohlen, obwohl es den Anschein hat, dass die Hacker sie nicht entschlüsseln konnten. Auf einer LastPass-Supportseite wird genau beschrieben, was gestohlen wurde .
Fragwürdige Transparenz
Zum Glück für LastPass-Benutzer scheinen die sensibelsten Daten der Kunden – wie (die meisten) E-Mail-Adressen und Passwörter – mit einer Zero-Knowledge-Methode verschlüsselt worden zu sein. Das bedeutet, dass sie mit einem Schlüssel verschlüsselt wurden, der aus dem Master-Passwort jedes Benutzers abgeleitet wurde und LastPass unbekannt ist. Als die Hacker LastPass-Daten stahlen, konnten sie diese Entschlüsselungsschlüssel nicht erhalten, da sie nirgendwo von LastPass gespeichert wurden.
Allerdings wurden von den Bedrohungsakteuren viele wichtige Daten gesammelt. Dazu gehörten Backups der Multi-Faktor-Authentifizierungsdatenbank von LastPass, API-Geheimnisse, Kundenmetadaten, Konfigurationsdaten und mehr. Darüber hinaus wurden offenbar auch zahlreiche andere Produkte außer LastPass verletzt .
Auf einer Support-Seite sagte LastPass, dass die Art und Weise, wie der zweite Angriff durchgeführt wurde – durch die Verwendung echter Anmeldedaten von Mitarbeitern – es schwierig machte, ihn zu erkennen. Am Ende erkannte das Unternehmen, dass etwas nicht stimmte, als sein AWS GuardDuty Alerts-System es warnte, dass jemand versuchte, seine Cloud Identity and Access Management-Rollen zu verwenden, um nicht autorisierte Aktivitäten durchzuführen.
LastPass hat in den letzten Monaten viel Kritik über den Umgang mit den Angriffen geerntet, und diese Missbilligung wird angesichts der jüngsten Enthüllungen wahrscheinlich nicht nachlassen. Tatsächlich ging ein Sicherheitsunternehmen so weit zu sagen, dass LastPass keine vertrauenswürdige App sei und dass Benutzer zu anderen Passwort-Managern wechseln sollten.
Im Moment versucht LastPass offenbar, seine Angriffsunterstützungsseiten vor Suchmaschinen zu verbergen, indem es den Seiten den Code „<meta name=“robots“ content=“noindex“>“ hinzufügt. Das wird es für Benutzer (und die ganze Welt) nur schwieriger machen, herauszufinden, was passiert ist, und scheint kaum im Sinne von Transparenz und Rechenschaftspflicht getan zu werden. Auch auf dem Firmenblog wurde nichts veröffentlicht.
Wenn Sie ein LastPass-Kunde sind, ist es möglicherweise besser, eine alternative App zu finden. Glücklicherweise gibt es viele andere hervorragende Passwort-Manager , die Ihre wichtigen Informationen zuverlässig schützen können.