Strzałka w lewo
Strzałka w lewo

LastPass wurde erneut gehackt

23.05.2023
Datensicherheit

Das beliebte Passwortmanagement-Unternehmen LastPass ist unter Druck geraten, nachdem es im August 2022 gehackt wurde. Details darüber, wie die Hacker zuerst in die Sicherheit eingedrungen sind, sind noch nicht bekannt. In der ersten offiziellen Stellungnahme von LastPass heißt es vorsichtig, dass:

Ein Unbefugter verschaffte sich über ein beschlagnahmtes Entwicklerkonto Zugang zu einem Teil der LastPass-Entwicklungsumgebung.

Eine weitere Ankündigung einen Monat später war ähnlich zweideutig:

Die Cyberkriminellen verschafften sich über einen abgefangenen Entwickler-Endpunkt Zugriff auf die Entwicklungsumgebung. Obwohl die Methode, die für den ursprünglichen Kompromittierungspunkt verwendet wurde, unklar ist, nutzten die Angreifer ihren dauerhaften Zugang, um sich als Entwickler auszugeben, als dieser sich erfolgreich mit der Multi-Faktor-Authentifizierung authentifizierte.

Es gibt nicht viele Informationen in diesem Absatz, während, wenn wir das Fachvokabular entfernen, die wichtigste Information diese Passage zu sein scheint: „ Der Endpunkt des Entwicklers wurde beschlagnahmt “ (umgangssprachlich bedeutet dies wahrscheinlich: ein mit Malware infizierter Computer) und „persistenter Zugang“ (d.h.: die Diebe konnten sich jederzeit selbständig Zugang verschaffen).

Zweistufige Verifizierung (2FA) fehlgeschlagen

Wie Sie sehen können, hat sich die Zwei-Faktor-Authentifizierung bei diesem Angriff nicht als wirksame Verteidigung erwiesen.

Das liegt wahrscheinlich daran, dass LastPass, wie die meisten Online-Dienste, nicht für jede Verbindung eine Zwei-Faktor-Authentifizierung verlangt, sondern nur für die Hauptanmeldung.

Um die Vorteile der Zwei-Faktor-Authentifizierung zu nutzen, ohne einen zu hohen Preis für die Unannehmlichkeiten zu zahlen, werden in der Regel bestimmte Ausnahmen verwendet, wie z.B.:

  • Zwei-Faktor-Authentifizierung nur gelegentlich, z.B. Abfrage neuer Einmalcodes nur alle paar Tage oder Wochen. Einige Zwei-Faktor-Authentifizierungssysteme bieten die Option „Erinnere mich für X Tage“.
  • Verlangen Sie eine Zwei-Faktor-Authentifizierung nur bei der ersten Anmeldung und erlauben Sie dann eine einmalige Anmeldung, die den Benutzer automatisch für eine breite Palette interner Dienste authentifiziert. In vielen Unternehmen erhalten Sie beispielsweise mit einer E-Mail-Anmeldung Zugang zu anderen Diensten wie Zoom, GitHub oder anderen Systemen, die Sie häufig nutzen.
  • Ausgabe von„Inhaber-Zugangs-Tokens“ für automatisierte Software-Tools, die auf eine gelegentliche Zwei-Faktor-Authentifizierung durch Entwickler, Tester und technische Mitarbeiter angewiesen sind. Einfach ausgedrückt: Wenn Sie ein automatisiertes Build- und Testskript haben, das in verschiedenen Phasen des Prozesses Zugriff auf verschiedene Server und Datenbanken benötigt, möchten Sie nicht, dass das Skript ständig durch eine Zwei-Faktor-Authentifizierung unterbrochen wird.

Ein weiterer erfolgreicher Angriff von Cyberkriminellen im November

LastPass gab zu, dass die Kriminellen „einen Teil des Quellcodes und einige sensible technische Informationen gestohlen haben“. Es scheint, dass einige der gestohlenen technischen Informationen ausreichten, um den Cyberkriminellen einen weiteren Angriff zu ermöglichen, der im November 2022 aufgedeckt wurde:

Wir haben festgestellt, dass eine unbefugte Person mit Hilfe von Informationen, die sie durch den Vorfall im August 2022 erhalten hat, Zugang zu bestimmten Daten unserer Kunden erhalten hat.

Diesmal wiederholte das Unternehmen nicht seine ursprüngliche Aussage, dass keines der Passwörter gestohlen worden sei. Zuvor hatte das Unternehmen von einem Leck bei den Kundendaten gesprochen (die die meisten von uns mit Informationen wie Adresse, Telefonnummer, Zahlungskartendaten usw. in Verbindung bringen), aber diesmal sagte das Unternehmen, dass es keine Passwörter gestohlen habe. Es stellt sich jedoch heraus, dass „Kundendaten“ diesmal sowohl Kundendaten im obigen Sinne als auch Passwortdatenbanken umfassen.

Ein paar Tage vor Weihnachten hat LastPass zugegeben:

Die Cyberkriminellen stahlen Daten aus einem Backup, das grundlegende Kundenkontoinformationen und zugehörige Metadaten enthielt, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen. Den Dieben gelang es auch, ein Backup der Daten des Kundentresors zu stehlen.

Interessanterweise hat LastPass auch zugegeben, dass das, was es als „Passwort-Cache“ bezeichnet, in Wirklichkeit kein eingesetztes BLOB (ein amüsantes IT-Jargon-Wort für ein großes binäres Objekt) ist, das ausschließlich und vollständig aus verschlüsselten und daher unverständlichen Daten besteht.

Diese „Caches“ enthalten unverschlüsselte Daten, darunter offenbar auch Website-URLs, die jedem verschlüsselten Benutzernamen und Passwort entsprechen.

Wenn Sie LastPass benutzt haben, haben wir eine schlechte Nachricht für Sie: Die Diebe wissen nicht nur, wo Sie wohnen und wo sich Ihr Computer befindet, sondern sie haben auch eine detaillierte Karte der Websites, die Sie besuchen, wenn Sie online sind. Weiter heißt es dort:

Kundentresordaten […] werden in einem eigenen Binärformat gespeichert, das sowohl unverschlüsselte Daten wie Website-Adressen als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und ausgefüllte Formulare enthält.

LastPass hat keine weiteren Details zu den unverschlüsselten Daten genannt, die in diesen Tresordateien gespeichert wurden. Die Worte „wie Website-Adressen“ lassen jedoch vermuten, dass URLs nicht die einzigen privaten Daten sind, die Diebe jetzt direkt lesen können, ohne Passwörter zu knacken.

Bitwarden noch sicher

Bitwarden ist eine Software zur Verwaltung von Passwörtern, die Sicherheit und Komfort bietet. Mit Bitwarden können Sie sich ein einziges, sicheres Passwort merken und haben auf all Ihren Geräten Zugriff auf alle Ihre anderen Passwörter an einem Ort. Darüber hinaus bietet Bitwarden Funktionen wie die Synchronisierung von Passwörtern zwischen Geräten, mehrere Sicherheitsebenen und das automatische Ausfüllen von Formularen.

Nutzen Sie das Angebot von ITH und fragen Sie nach Bidwarden – so sind Ihre Daten sicher!

Das könnte Sie auch interessieren

Schützen Sie Ihre Dateien - alles, was Sie über Datensicherung wissen müssen

23.12.2024
Hosting
In der digitalen Welt von heute speichern wir die meisten unserer Informationen digital – auf Computern, Smartphones oder in...

Wie kann man eine unbekannte Telefonnummer verifizieren und Spam vermeiden?

16.12.2024
Sicherheit
Jeder von uns hat schon mindestens einmal eine Situation erlebt, in der eine unbekannte Telefonnummer Zweifel ausgelöst hat –...

Sideloading - wie Sie Apps sicher installieren

09.12.2024
Internet
Jeden Tag nutzen wir mobile Apps, die wir meist aus offiziellen Quellen wie Google Play oder dem App Store...
Weitere Beiträge anzeigen