Weitere Einzelheiten zum jüngsten Hackerangriff auf LastPass besagen, dass dieser hätte verhindert werden können – wenn der leitende Ingenieur von LastPass seine Plex-App schon vor Jahren aktualisiert hätte!
Es stellt sich heraus, dass das System der betroffenen Person (ein LastPass-Mitarbeiter), in das der Hacker eingedrungen ist, das Ergebnis eines Bug-Exploits in der Plex-App des Heimcomputers des Opfers ist! Ein Patch dafür ist seit Jahren verfügbar, aber der Benutzer hat ihn nicht installiert, was zu einem Einbruch führte!
Ein fauler Mitarbeiter ist die Ursache
Von einem der besten Passwortmanager auf dem Markt zu einem berüchtigten Dienst innerhalb von nur einem Jahr: Das Schicksal von LastPass hat sich schnell als das schlimmste seit letztem Jahr herausgestellt. Das Unternehmen erlitt zwei Datendiebstähle (1, 2) – wobei der letzte alberner war als je zuvor.
Berichten zufolge Der Hacker hat in diesem Fall das Firmenkonto eines leitenden Ingenieurs von LastPass kompromittiert, was dazu führte, dass sich der Bedrohungsakteur im Netzwerk des Unternehmens bewegte und dessen Daten stiehlte.Mittlerweile sind weitere Einzelheiten zu diesem Fall bekannt geworden – sie zeigen, dass der eigentliche Schaden durch die Verantwortungslosigkeit des betreffenden Ingenieurs entstanden ist.
Es wurde berichtet, dass der Hacker das LastPass-Konto des Ingenieurs über eine anfällige Plex-Software kompromittiert hatte – die das Opfer auf seinem PC verwendet hatte. Der Hacker konnte einen Fehler in der Plex-Desktop-App ausnutzen und einen Keylogger auf dem Computer des Opfers installieren.
Nachdem der Hacker seine Anmeldedaten für das LastPass-Firmenkonto in Erfahrung gebracht hatte (ja, LastPass ermöglichte diesem leitenden Ingenieur den Zugriff auf das Netzwerk des Unternehmens über einen Heimcomputer!), drang er in das LastPass-Netzwerk ein und stahl die Daten.
Plex gab bekannt, dass der fragliche Exploit bereits am 7. Mai 2020 offengelegt wurde und das Unternehmen am selben Tag einen Patch dafür veröffentlichte. Doch der Mitarbeiter hat es nicht gepatcht – seit drei Jahren! Plex behauptet, danach etwa 75 Versionen veröffentlicht zu haben, die dieser LastPass-Ingenieur alle ignoriert hat!
Hätte er die App früher aktualisiert, wäre es bei LastPass nicht zu diesem beschämenden Vorfall gekommen.
