{"id":276289,"date":"2022-12-23T01:17:43","date_gmt":"2022-12-23T00:17:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276289"},"modified":"2022-12-30T02:49:47","modified_gmt":"2022-12-30T01:49:47","slug":"lastpass-sagt-dass-hacker-die-verschlsselte-vault-datenbank-mit-nutzerdaten-abgezogen-haben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/23\/lastpass-sagt-dass-hacker-die-verschlsselte-vault-datenbank-mit-nutzerdaten-abgezogen-haben\/","title":{"rendered":"LastPass sagt, dass Hacker die verschlüsselte Vault Datenbank mit Nutzerdaten abgezogen haben"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der n\u00e4chste gravierende Sicherheitsvorfall, denn der Anbieter LastPass eingestehen muss. LastPass gab gerade bekannt, dass ein Bedrohungsakteur eine Sicherungskopie der verschl\u00fcsselten Tresor-Daten (Vault Data) seiner Kunden gestohlen habe. Der Coup gelang mit Hilfe von Cloud-Speicherschl\u00fcsseln, die im August 2022 von einem LastPass-Mitarbeiter gestohlen wurden. Sollte der Angreifer die Verschl\u00fcsselung knacken k\u00f6nnen, w\u00e4re der Zugriff auf die gespeicherten Nutzerzugangsdaten m\u00f6glich – der absolute GAU. Erg\u00e4nzung: Jemand hat das Ganze als Konstrukt aus PR-Palaver, Weglassungen und m\u00f6glichen L\u00fcgen aufbereitet.<\/p>\n

<\/p>\n

\"\"LastPass ist ein Dienst zur Speicherung seiner Passw\u00f6rter und Zugangsdaten f\u00fcr Online-Konten – wobei diese Daten in einem Vault genannten Daten-Tresor in der Cloud abgelegt werden. Sollte man tunlichst vermeiden, da man von diesem Dienst und dessen Sicherheit abh\u00e4ngt. LastPass musste im August einen Sicherheitsvorfall melden, bei der die Entwicklungsumgebung gehackt wurde (siehe LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a>). Die Angreifer hatten vier Tage Zeit, sich im internen IT-Netzwerk umzusehen (siehe Links am Artikelende). Im November 2022 wurde bekannt, dass LastPass Kundendaten nach dem Hack eines Cloud-Speicherdiensts entwendet werden konnten.<\/p>\n

Vault Data bei Hack erbeutet<\/h2>\n

In einer Meldung<\/a> vom 20. Dez. 2022 gesteht LastPass nun den n\u00e4chsten Sicherheitsvorfall ein. Beim Hack eines Cloud-Speicherdiensts (siehe LastPass-Kundendaten nach Hack eines Cloud-Speicherdiensts abgezogen (Nov. 2022)<\/a>) wurde wohl mehr als bekannt an Daten abgezogen. LastPass schreibt, dass die bisherigen Ermittlungen haben ergeben, dass ein unbekannter Bedrohungsakteur auf eine Cloud-basierte Speicherumgebung zugegriffen hat. Dazu wurden Informationen aus dem Vorfall im August 2022 genutzt (LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a>).<\/p>\n

W\u00e4hrend des Vorfalls im August 2022 wurde zwar nicht auf Kundendaten zugegriffen, aber es wurden einige Quellcodes und technische Informationen aus der LastPass-Entwicklungsumgebung gestohlen. Diese Informationen wurden verwendet, um einen anderen Mitarbeiter anzugreifen und Anmeldeinformationen und Schl\u00fcssel zu erhalten, die f\u00fcr den Zugriff und die Entschl\u00fcsselung einiger Speichervolumina innerhalb des Cloud-basierten Speicherdienstes verwendet wurden.<\/p>\n

Die LastPass-Produktionsdienste werden derzeit zwar aus lokalen Rechenzentren betrieben, wobei der Cloud-basierte Speicher f\u00fcr verschiedene Zwecke genutzt wird, z. B. f\u00fcr die Speicherung von Backups und regionale Anforderungen an die Datenresidenz. Der Cloud-Speicherdienst, auf den der Bedrohungsakteur zugreifen konnte, ist physisch von der LastPass-Produktionsumgebung getrennt.<\/p>\n

Die bisherige Auswertung ergab aber, dass der Bedrohungsakteur den Zugriffsschl\u00fcssel f\u00fcr den Cloud-Speicher und die Entschl\u00fcsselungsschl\u00fcssel f\u00fcr die beiden Speichercontainer erlangte. Dadurch war er in der Lage, Informationen einem dem Backup zu kopieren. Dadurch hat er Zugriff auf die grundlegende Kundenkontoinformationen und die zugeh\u00f6rigen Metadaten. Darunter sind auch Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen.<\/p>\n

Der Bedrohungsakteur war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschl\u00fcsselten Speichercontainer zu kopieren,. Die Sicherungskopie ist zwar in einem propriet\u00e4ren Bin\u00e4rformat gespeichert, enth\u00e4lt aber sowohl unverschl\u00fcsselte Daten wie Website-URLs als auch vollst\u00e4ndig verschl\u00fcsselte sensible Felder wie Website-Benutzernamen und -Passw\u00f6rter, sichere Notizen und in Formulare eingegebene Daten.<\/p>\n

Diese verschl\u00fcsselten Felder sind mit einer 256-Bit-AES-Verschl\u00fcsselung gesichert und k\u00f6nnen nur mit einem eindeutigen Verschl\u00fcsselungsschl\u00fcssel entschl\u00fcsselt werden, der mit Hilfe der LastPass Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird.<\/p>\n

Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet. Die Ver- und Entschl\u00fcsselung der Daten wird nur auf dem lokalen LastPass-Client durchgef\u00fchrt. Weitere Informationen \u00fcber unsere Zero Knowledge Architektur und Verschl\u00fcsselungsalgorithmen gibt es hier<\/a>.<\/p>\n

Es gibt keine Hinweise darauf, dass auf unverschl\u00fcsselte Kreditkartendaten zugegriffen wurde, schreibt das Unternehmen, denn LastPass speichert keine vollst\u00e4ndigen Kreditkartennummern und Kreditkarteninformationen werden in dieser Cloud-Speicherumgebung nicht archiviert.<\/p>\n

Der Bedrohungsakteur k\u00f6nnte aber versuchen, das von Nutzern gew\u00e4hlte Master-Passwort mit Brute Force-Angriffen zu erraten und im Anschluss die Kopien der entwendeten Tresordaten zu entschl\u00fcsseln. Aufgrund der Hashing- und Verschl\u00fcsselungsmethoden, die LastPass zum Schutz einsetzt, w\u00e4re es \u00e4u\u00dferst schwierig, Master-Passw\u00f6rter von Kunden, die den LastPass Best Practices f\u00fcr Passw\u00f6rter befolgen, mit Brute Force-Angriffen. Alles in allem ist dies f\u00fcr LastPass ein Debakel.<\/p>\n

Erg\u00e4nzung<\/strong>: In diesem Artikel<\/a> arbeitet sich jemand an der Mitteilung von LastPass ab und schreibt, dass der Vorfall im August und das jetzt gemeldete Ereignis zusammen h\u00e4ngen. Im Artikel wird aufbereitet, wie LastPass seine Nutzer mit den schrittweisen Meldungen der Vorf\u00e4lle abspeist und dass die Verlautbarungen wohl Markting-Bullshit sind. Golem hat das Thema hier<\/a> in Deutsch aufbereitet.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nLastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a>
\nLastPass best\u00e4tigt: Angreifer hatten vier Tage Zugriff auf interne Systeme<\/a>
\nLastPass-Kundendaten nach Hack eines Cloud-Speicherdiensts abgezogen (Nov. 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der n\u00e4chste gravierende Sicherheitsvorfall, denn der Anbieter LastPass eingestehen muss. LastPass gab gerade bekannt, dass ein Bedrohungsakteur eine Sicherungskopie der verschl\u00fcsselten Tresor-Daten (Vault Data) seiner Kunden gestohlen habe. Der Coup gelang mit Hilfe von Cloud-Speicherschl\u00fcsseln, die im August 2022 von … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-276289","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276289"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276289\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}