Der Sicherheitsverstoß bei LastPass im August 2022 war möglicherweise schwerwiegender als bisher von dem Unternehmen bekannt gegeben.
Der beliebte Passwortverwaltungsdienst gab am Donnerstag bekannt, dass böswillige Akteure mit Hilfe von Daten, die bei einem früheren Einbruch gestohlen wurden, einen Haufen persönlicher Daten seiner Kunden erlangt haben, darunter auch deren verschlüsselte Passwortspeicher.
Außerdem wurden „grundlegende Kundenkontoinformationen und zugehörige Metadaten wie Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen, gestohlen“, so das Unternehmen.
Bei dem Vorfall im August 2022, der noch immer Gegenstand einer laufenden Untersuchung ist, griffen die Täter über ein einziges kompromittiertes Mitarbeiterkonto auf den Quellcode und geschützte technische Informationen der Entwicklungsumgebung zu.
Laut LastPass war es dem unbekannten Angreifer so möglich, Anmeldedaten und Schlüssel zu erlangen, die er anschließend nutzte, um Informationen aus einem Backup zu extrahieren, das in einem cloudbasierten Speicherdienst gespeichert war, der physisch von der Produktionsumgebung getrennt ist.
Darüber hinaus soll der Angreifer auch die Daten des Kundentresors aus dem verschlüsselten Speicherdienst kopiert haben. Sie sind in einem „proprietären Binärformat“ gespeichert, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und Formulardaten enthält.
Diese Felder sind nach Angaben des Unternehmens mit einer 256-Bit-AES-Verschlüsselung geschützt und können nur mit einem Schlüssel entschlüsselt werden, der aus dem Master-Passwort der Nutzer/innen auf deren Geräten abgeleitet wird.
LastPass bestätigte, dass die Sicherheitslücke keinen Zugriff auf unverschlüsselte Kreditkartendaten beinhaltete, da diese Informationen nicht im Cloud-Speichercontainer archiviert wurden.
Das Unternehmen gab nicht bekannt, wie aktuell das Backup war, warnte aber davor, dass die Angreifer „versuchen könnten, Ihr Master-Passwort mit roher Gewalt zu erraten und die Kopien der entwendeten Tresordaten zu entschlüsseln“ sowie Kunden mit Social-Engineering- und Credential-Stuffing-Angriffen anzugreifen.
An dieser Stelle ist anzumerken, dass der Erfolg der Brute-Force-Angriffe zum Erraten der Master-Passwörter umgekehrt proportional zu ihrer Stärke ist, d.h. je einfacher das Passwort zu erraten ist, desto weniger Versuche sind nötig, um es zu knacken.
„Wenn du dein Master-Passwort wiederverwendest und dieses Passwort jemals kompromittiert wurde, kann ein Bedrohungsakteur Dumps von kompromittierten Anmeldedaten verwenden, die bereits im Internet verfügbar sind, um zu versuchen, auf dein Konto zuzugreifen“, warnt LastPass.
Die Tatsache, dass Website-URLs im Klartext vorliegen, bedeutet, dass eine erfolgreiche Entschlüsselung des Master-Passworts den Angreifern Aufschluss über die Websites geben könnte, bei denen ein bestimmter Nutzer Konten unterhält, so dass sie weitere Phishing- oder Anmeldedaten-Diebstahl-Angriffe durchführen können.
Das Unternehmen teilte außerdem mit, dass es eine kleine Gruppe seiner Geschäftskunden – weniger als 3 % – benachrichtigt hat, um bestimmte, nicht näher spezifizierte Maßnahmen auf der Grundlage ihrer Kontokonfigurationen zu ergreifen.
Die Entwicklung kommt einige Tage, nachdem Okta eingeräumt hat, dass sich Bedrohungsakteure unbefugten Zugang zu den Workforce Identity Cloud (WIC) Repositories auf GitHub verschafft und den Quellcode kopiert haben.