Update: Lastpass legt Hintergründe zum Hackerangriff offen
Bei einem Cyberangriff im Dezember 2022 haben Hacker Kundendaten und Passworttresore des Passwortmanagers Lastpass gestohlen wurden. Den Zugang zu den Daten beschafften sich die Cyberkriminellen unter anderem über den privaten PC eines Mitarbeitenden.
Update vom 3.3.2023: Der Passwortmanager Lastpass hat weitere Hintergründe zum Cyberangriff vom November 2022 bekannt gegeben. Wie das Unternehmen im Blogbeitrag ausführt, stützten sich die Angreifer bei der Attacke auf Daten, die beim ersten Cyberangriff gestohlen wurden. Dazu gehörten auch die verschlüsselten Zugangsdaten eines Lastpass-Mitarbeiters, wie "Heise" zusammenfasst. Den Schlüssel zu den Login-Daten erhielten sie, indem sie den privaten PC eines DevOps-Entwicklers hackten – laut Lastpass besitzen nur vier von ihnen diesen Decryption Key. Für den Hack machten sie sich "die Sicherheitslücke eines Medien-Software-Pakets" zunutze. Über die Schwachstelle konnten sie einen Keylogger auf dem Rechner ihres Opfers installieren, mit dessen Hilfe sie das benötigte Master-Passwort ausspionieren konnten.
Lastpass versichert, seine IT-Systeme weiter gegen Angriffe gehärtet zu haben und dies auch weiterhin zu tun. So hat das Unternehmen die von den Angreifern missbrauchten Sicherheitszertifikate ungültig gemacht und die Zugänge zu den zu kritischen Daten neu aufgesetzt.
Heise weist darauf hin, dass auch Firmenkunden von Lastpass durch den Cyberangriff gefährdet sind, die Federated Login einsetzen. In diesem Fall bestehe ihr Masterpasswort nämlich aus zwei Komponenten, schreibt Heise. Die eine sei für alle Mitarbeitenden der Firma zugänglich. Die andere habe von den Hackern abgegriffen werden können. "Dementsprechend müsste ein Angreifer lediglich einen Mitarbeiter-Account kompromittieren, um auf sämtliche LastPass-Daten einer Firma zugreifen zu können", fasst Heise zusammen.
Update vom 3.1.2023: Lastpass bestätigt Diebstahl von Passworttresoren
Das Passwortverwaltungs-Unternehmen Lastpass liefert in einem Blogbeitrag weitere Details zu einem Cyberangriff vom November 2022. So konnte man nachweisen, dass es dem Bedrohungsakteur gelang, "grundlegende Kundenkontoinformationen und zugehörige Metadaten" zu stehlen. Diese Daten umfassen etwa Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den Lastpass-Dienst zugriffen.
Wie viele Kunden betroffen sind, gibt Lastpass nicht bekannt. Ebenfalls sei es den Angreifern gelungen, Passworttresore zu entwenden. Diese Tresore enthalten jeweils Informationen zum entsprechenden Dienst (z.B. Name/URL einer Website) sowie den Benutzernamen und das Passwort für den Dienst.
Diese Daten sind jedoch hochgradig verschlüsselt, und können nur in Kombination mit dem Masterpasswort des entsprechenden Benutzers entschlüsselt werden. Diese Masterpasswörter seien Lastpass selbst nicht bekannt und waren daher auch nicht vom Angriff betroffen.
Die Angreifer könnten jedoch versuchen, das Masterpasswort in einer "BruteForce"-Attacke zu erraten. Laut Lastpass besteht jedoch für Kunden, welche die Passwortguidelines für das Masterpasswort eingehalten, kein Handlungsbedarf. Gängige Dienste zum Erraten von Passwörtern bräuchten demnach "Millionen Jahre" bevor sie das Masterpasswort korrekt errechnen.
Originalmeldung vom 02.12.2022: Passwortmanager Lastpass erneut gehackt
Bereits zum zweiten Mal in diesem Jahr sind Hacker in die Systeme des Passwortmanagers Lastpass eingedrungen. Das teilt das Unternehmen am 30. November auf seiner Website mit. Im vergangenen August erlangten die Cyberkriminellen gar Zugriff auf den Quellcode des Anbieters, wie Sie hier lesen können. Damals gestohlene Daten hätten es den Angreifern ermöglicht, erneut in die Systeme des Unternehmens einzudringen.
Den Angreifern sei es gelungen, auf "gewisse Teile" der beim Unternehmen gespeicherten Kundendaten zuzugreifen. Die Passwörter der Kundinnen und Kunden seien dank der "Zero Knowledge" -Architektur von Lastpass aber weiterhin sicher, wie das Unternehmen versichert.
Wie tief in die Systeme von Lastpass die Hacker tatsächlich eindringen konnten und welche Informationen genau gestohlen wurden, ist aktuell noch nicht klar. Das Unternehmen arbeite mit Hochdruck daran, diese Fragen zu klären. Zur Unterstützung heuerte Lastpass das Cybersecurity-Unternehmen Mandiant an, wie "Bleepingcomputer" berichtet. Die Behörden seien ebenfalls über den Vorfall informiert.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.