LastPass bestätigt: Angreifer hatten vier Tage Zugriff auf interne Systeme

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Entwickler des webbasierten Passwortmanager-Online-Diensts LastPass haben diese Woche bekannt gegeben, dass die Angreifer vier Tage Zugriff auf interne Systeme hatten. Erst dann fiel der unbefugte Zugriff auf. Den Angreifern ist es aber wohl nicht gelungen, schreibend auf die Entwicklungsumgebung zuzugreifen und Code der LastPass-Software zu verändern oder auf sensitive Benutzerdaten zuzugreifen.


Anzeige

Der LastPass-Hack

Ende August 2022 informierte der Passwortmanager-Online-Diensts LastPass seine Nutzer, dass unbefugte Dritte Zugriff auf die interne Entwicklungsumgebung hatten. Zwei Wochen vor dieser Meldung hatte das Unternehmen ungewöhnliche Abläufe in der LastPass-Entwicklungsumgebung festgestellt. Unbefugten Dritten war es wohl gelungen, Zugriff auf Teile der LastPass-Entwicklungsumgebung zu erhalten. Ich hatte im Blog-Beitrag LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022) über den Vorfall berichtet.

Weitere Einzelheiten veröffentlicht

In der Zwischenzeit hat der Online-Diensts LastPass zusammen mit dem Sicherheitsanbieter Mandiant eine detaillierte Untersuchung des Vorfalls durchgeführt und zum 15. September 2022 neue Erkenntnisse veröffentlicht.

Zugriff über Entwicklerzugang

Die Analyse ergab, dass der Bedrohungsakteur über den kompromittierten Endpunkt eines Entwicklers Zugriff auf die LastPass-Entwicklungsumgebung erlangte. Obwohl unklar ist, mit welcher Methode der Angreifer anfänglich den Entwicklerzugang kompromittieren konnte, scheint sicher zu sein, dass nur dieser Zugang missbraucht wurde. LastPass schreibt, dass der Bedrohungsakteur sich als der Entwickler ausgab, um sich erfolgreich per Multi-Faktor-Authentifizierung anzumelden.

Nur vier Tage Zugang

Anschließend verwendete der Angreifer diesen dauerhaften Zugang, um auf das Entwicklungssystem zuzugreifen. Die Untersuchung ergab, dass die Angreifer nur in einem Zeitraum von vier Tagen im August 2022 Zugriff auf die IT-Systeme des Unternehmens hatten. Das LastPass-Sicherheitsteam entdeckte die Aktivitäten des Bedrohungsakteurs und konnte den Vorfall anschließend eindämmen.


Anzeige

Keine sensitiven Benutzerdaten abgegriffen

Es gebe keine Hinweise auf Aktivitäten des Bedrohungsakteurs, die über den festgelegten Zeitraum hinausgehen, schreibt der Anbieter. Weiterhin wurden keine Hinweise gefunden, dass der Eindringlich einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore erlangen konnte.  Das wurde wohl  durch das System-Design erfolgreich verhindert.

Die LastPass-Entwicklungsumgebung ist physisch von der Produktionsumgebung getrennt und hat keine direkte Verbindung zu dieser. Die Entwicklungsumgebung enthält keine Kundendaten oder verschlüsselten Tresore.  Weiterhin hat LastPass keinen Zugang zu den Master-Passwörtern der Tresore seiner Kunden – ohne das Master-Passwort ist es für niemanden außer dem Besitzer eines Tresors möglich, die Daten des Tresors zu entschlüsseln. Das ist Teil des LastPass Zero Knowledge-Sicherheitsmodells.

LastPass-Code-Integrität sichergestellt

Eine Frage stand noch im Raum, ob der Code für LastPass eventuell modifiziert werden konnte. Durch die Trennung der Entwicklungs- und Produktionsumgebung konnten die Angreifer nicht auf das Produktionssystem zugreifen.

Um die Integrität des Codes zu überprüfen, wurde eine Analyse des Quellcodes und der Produktions-Builds durchgeführt. Dabei wurden keine Anzeichen für Versuche eines Code-Poisoning oder der Einschleusung von bösartigem Code gefunden.

Die Entwickler haben nicht die Möglichkeit, Quellcode aus der Entwicklungsumgebung in die Produktionsumgebung zu übertragen. Diese Möglichkeit ist auf ein separates Build-Release-Team beschränkt und kann nur nach Abschluss strenger Codeüberprüfungs-, Test- und Validierungsprozesse erfolgen. Es sieht so aus, als ob LastPass mit einem "blauen Auge" davon gekommen ist. Dazu hat auch das Design der Entwicklungs- und Produktionsumgebungen beigetragen. (via)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu LastPass bestätigt: Angreifer hatten vier Tage Zugriff auf interne Systeme

  1. Luzifer sagt:

    naja wenn man den Aussagen trauen kann! Last Pass ist schließlich nicht das erste Mal gehackt worden und bei den vorherigen Hacks wurde auch immer nur das zugegeben was sich nicht mehr widerlegen ließ, inkl. Eingeständnisse, die dann nach und nach ans Licht kamen.

    Von daher abwarten was noch nachfolgt.

  2. Lukas sagt:

    Also ich würde jedem, der Lastpass noch verwendet, etwas anderes empfehlen. Wie mein Vorredner bereits sagte, sie sind nicht das erste Mal gehackt worden. Mir wäre das bei dem Anbieter viel zu unsicher. Da gibt es auf jeden Fall bessere Lösungen

    • Steter Tropfen sagt:

      Ach, wie ich das immer gern habe, wenn Leute großartig verkünden „Da gibt es was viel viel besseres…" und sich dann mit gewichtigem Schweigen wieder in Nebel hüllen. – Ist dieses Bessere streng geheim, nur für Eingeweihte oder darf sein Name nicht ausgesprochen werden? Oder ist dessen Existenz vielleicht nur spekulativ? Ihr lieben Bessereskenner: Gebt doch mal „Butter bei die Fische!", wie die Nordlichter sagen.

      • Bernd B. sagt:

        "Schlecht" ist, wenn die Passwortdatenbank ungeschützt (ausser evt. durch die mehr oder minder gute/bugfreie Programmverschlüsselung) bei Dritten liegt. Besser ist, wenn solche Daten nur im eigenen Machtbereich sind.

        Die konkrete "bessere" Lösung hängt vom Einsatzzweck, KnowHow und bestehender Infrastruktur des Anwenders ab.
        Ein Klassiker ist Keepass/KeepassDX/…, kann man mit ein wenig Aufwand auch über Geräte hinweg synchronisierbar machen.

  3. Alex sagt:

    Das würde mich auch interessieren, was denn die besseren Alternativen sind. Ich kenne nämlich keine.

    So ziemlich alles, was es sonst noch gibt, kostet Geld. Ich habe vor längerer Zeit eine ganze Serie von Passwortprogrammen getestet und konnte mit keinem etwas anfangen.

    • Bernd B. sagt:

      …das ist dann Ihre individuelle Herausforderung, nicht der Fehler der Alternativen.
      Ohne das konkrete Anforderungsprofil und Ihre persönliche Herausforderung mit den einzelnen Produkten zu kennen ist es aber reine Glückssache, sinnvolle Vorschläge zu machen.

    • Micha sagt:

      Vor Allem – warum ist "kostet Geld" ein Ausschlusskriterium? Es gibt sicher im Bereich der Community-Software interessante und auch gute Projekte, aber im Zweifel muss ich die Programmierer eben irgendwie bezahlen.

      • Bernd B. sagt:

        In meiner Welt ist "kostet Geld" == "Abomodell" und das vermeide ich wie die Pest. Von daher habe ich dafür Verständnis.
        Falls "kostet Geld" einmalig 20-50€ meint ist es natürlich ein suboptimales Kriterium.

    • John sagt:

      Bitwarden ist in vielen Fällen eine Alternative

  4. Alex sagt:

    Das Anforderungsprofil ist ganz einfach. Meine sehr komplizierten Passwörter sollen gespeichert und beim Aufruf der entsprechenden Seiten automatisch eingefügt werden. Das ist alles.

    Welche Alternativen das waren, weiß ich nicht mehr. Das ist schon zu lange her. Außerdem bin ich kein Computerprofi und kann nicht mitreden mit Leuten wie ihnen.

    • Bernd B. sagt:

      Dann ist meine Empfehlung KeePass.
      Dort dann "Autotype" konfigurieren und auf der Webseite CTRL-A drücken.

      Klar gibt es auch die PWM mit Browseraddon, die vollautomatisch ausfüllen.
      Dazu habe ich zu wenig Vertrauen: Es addiert mMn unnötige Komplexität und Angriffsvektoren und der Bequemlichkeitsgewinn (1x weniger CTRL-A drücken) ist es mir nicht wert.

      Ich nutze zudem die KP-Plugins "KeePassOTP" für OTP und "KeePassQuickUnlock", um die DB immer gesperrt zu haben, aber mit wenigen Zeichen entsperren zu können (mein Kompromiss zwischen Sicherheit (komplexes Passwort, DB immer gesperrt) und Bequemlichkeit).

      Unwichtige Logins wie für Foren etc. habe ich weiter im Browser gespeichert (wieder: Sicherheit vs. Bequemlichkeit). Voraussetzung dafür: Separates Login (Username _und_ Passwort) für _jede_ Webseite, damit der Verlust eines Logins nur dieses eine Profil/Seite kompromittieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.