Der folgende Artikel hilft Ihnen dabei: LastPass enthüllt, wie es gehackt wurde – und das sind keine guten Nachrichten
Das letzte Jahr war für den Passwort-Manager LastPass ein besonders schlechtes Jahr, da eine Reihe von Hacking-Vorfällen einige schwerwiegende Schwachstellen in seiner angeblich grundsoliden Sicherheit aufdeckten. Jetzt wissen wir genau, wie diese Angriffe abliefen – und die Fakten sind ziemlich atemberaubend.
Alles begann im August 2022, als LastPass enthüllte, dass ein Bedrohungsakteur den Quellcode der App gestohlen hatte. In einem zweiten, darauffolgenden Angriff kombinierte der Hacker diese Daten mit Informationen, die er bei einem separaten Datenverstoß gefunden hatte, und nutzte dann eine Schwachstelle in einer Fernzugriffs-App aus, die von LastPass-Mitarbeitern verwendet wurde. Dadurch konnten sie einen Keylogger auf dem Computer eines leitenden Ingenieurs des Unternehmens installieren.
Sobald dieser Keylogger installiert war, konnten die Hacker das LastPass-Master-Passwort des Ingenieurs bei der Eingabe ausspionieren und ihnen Zugriff auf den Tresor des Mitarbeiters und alle darin enthaltenen Geheimnisse gewähren.
Sie nutzten diesen Zugriff, um den Inhalt des Tresors zu exportieren. Unter den Daten befanden sich die Entschlüsselungsschlüssel, die zum Entschlüsseln der im Cloud-Speichersystem von LastPass gespeicherten Kunden-Backups erforderlich waren.
Das ist wichtig, da LastPass Produktions-Backups und wichtige Datenbank-Backups in der Cloud aufbewahrte. Außerdem wurden große Mengen sensibler Kundendaten gestohlen, obwohl es den Hackern offenbar nicht gelungen ist, diese zu entschlüsseln. Auf einer LastPass-Supportseite wird genau beschrieben, was gestohlen wurde.
Fragwürdige Transparenz
Zum Glück für LastPass-Benutzer scheinen die sensibelsten Daten der Kunden – wie (die meisten) E-Mail-Adressen und Passwörter – mit einer Zero-Knowledge-Methode verschlüsselt zu werden. Das bedeutet, dass sie mit einem Schlüssel verschlüsselt wurden, der aus dem Master-Passwort jedes Benutzers abgeleitet wurde und LastPass unbekannt ist. Als die Hacker LastPass-Daten stahlen, konnten sie diese Entschlüsselungsschlüssel nicht erhalten, da sie nirgendwo von LastPass gespeichert wurden.
Allerdings wurden von den Bedrohungsakteuren zahlreiche wichtige Daten gestohlen. Dazu gehörten Backups der Multi-Faktor-Authentifizierungsdatenbank von LastPass, API-Geheimnisse, Kundenmetadaten, Konfigurationsdaten und mehr. Darüber hinaus scheinen auch zahlreiche andere Produkte außer LastPass gehackt worden zu sein.
Auf einer Support-Seite sagte LastPass, dass die Art und Weise, wie der zweite Angriff durchgeführt wurde – unter Verwendung echter Anmeldedaten von Mitarbeitern – es schwierig machte, ihn zu erkennen. Am Ende erkannte das Unternehmen, dass etwas nicht stimmte, als sein AWS GuardDuty Alerts-System es warnte, dass jemand versuchte, seine Cloud Identity and Access Management-Rollen zu nutzen, um nicht autorisierte Aktivitäten durchzuführen.
LastPass musste in den letzten Monaten viel Kritik an seinem Umgang mit den Angriffen einstecken, und diese Missbilligung wird angesichts der jüngsten Enthüllungen wahrscheinlich nicht nachlassen. Tatsächlich ging ein Sicherheitsunternehmen sogar so weit zu sagen, dass LastPass keine vertrauenswürdige App sei und Benutzer dazu aufforderte, auf andere Passwort-Manager umzusteigen.
Derzeit versucht LastPass offenbar, seine Angriffsunterstützungsseiten vor Suchmaschinen zu verbergen, indem es den Seiten „“-Code hinzufügt. Dadurch wird es für die Nutzer (und die ganze Welt) nur noch schwieriger herauszufinden, was passiert ist, und dies scheint kaum im Sinne von Transparenz und Rechenschaftspflicht zu erfolgen. Auch im Unternehmensblog wurde nichts veröffentlicht.
Wenn Sie LastPass-Kunde sind, ist es möglicherweise besser, eine alternative App zu finden. Glücklicherweise gibt es viele andere hervorragende Passwort-Manager, die Ihre wichtigen Informationen zuverlässig schützen können.
