LastPass räumt Cyberangriff ein

Wie der Passwortmanagement-Anbieter LastPass Ende August 2022 eingeräumt hat, hat sich ein unbefugter Angreifer über kompromittierte Logindaten Zugang zu einem Entwicklerkonto des Unternehmens verschafft. Dabei seien Quellcode und technische Informationen gestohlen worden. Eine erste Untersuchung des Vorfalls habe allerdings keine Hinweise darauf hervorgebracht, dass ein Zugriff auf Kundendaten oder verschlüsselte Passwort-Vaults erfolgt sei, wie LastPass-CEO Karim Toubba in einem Blogpost mitteilte. Ihm zufolge seien die Master-Passwörter der Kunden durch eine Zero-Knowledge-Architektur geschützt.

LastPass-Sprecherin Nikolett Bacso Albaum versuchte zusätzlich, die Wogen zu glätten: "Unsere Produkte und Dienstleistungen funktionieren normal. Als Reaktion auf den Vorfall haben wir sofort eine Untersuchung eingeleitet, Eindämmungs- und Schadensbegrenzungsmaßnahmen ergriffen und in diesem Rahmen ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt. Die Untersuchung dauert noch an, allerdings haben wir bereits optimierte Sicherheitsmaßnahmen implementiert und sehen keine weiteren Beweise für unautorisierte Aktivitäten."

We recently detected unusual activity within portions of the LastPass development environment and have initiated an investigation and deployed containment measures. We have no evidence that this involved any access to customer data. More info: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC

— LastPass (@LastPass) August 25, 2022

Die Sicherheitsarchitektur von LastPass

In einem Status-Update teilt Toubba nun mit, dass es keinerlei Beweise dafür gebe, dass der Angreifer Kundendaten oder verschlüsselte Passwort-Tresore abgreifen konnte. In Zusammenarbeit mit den Sicherheitsexperten von Mandiant hat LastPass den Vorfall untersucht und dabei herausgefunden, dass der Hacker insgesamt vier Tage lang Zugriff auf die Infrastruktur des Unternehmens hatte. Obwohl der Bedrohungsakteur auf die Entwicklungsumgebung zugreifen konnte, hätte das Systemdesign von LastPass den Zugriff auf Kundendaten oder Masterpasswörter der Kunden verhindert, schreibt der CEO und erklärt, welche Sicherheitsmaßnahmen diese Architektur beinhaltet:

• Die Entwicklungsumgebung ist physisch von der Produktionsumgebung getrennt, es gibt keine direkte Verbindung.

• Die Entwicklungsumgebung enthält keine Kundendaten oder verschlüsselte Tresore, welche alle gespeicherten Passwörter der Kunden enthalten.

• LastPass hat keinen Zugriff auf die Master-Passwörter der Kunden, die die Tresore öffnen.

"Entwickler haben nicht die Möglichkeit, Quellcode aus der Entwicklungsumgebung in die Produktion zu übertragen. Diese Möglichkeit habe nur ein separates Build-Release-Team nach Abschluss strenger Codeüberprüfungs-, Test- und Validierungsprozesse, heißt es im Update. Auch für Versuche von Code-Poisoning oder bösartiger Code-Injektion habe der Anbieter keine Anzeichen gefunden.

Als Reaktion auf den Vorfall hat sich LastPass nach eigener Aussage dazu entschieden, erweiterte Sicherheitskontrollen sowie zusätzliche Kontrollen für Endgeräte einzuführen. Zudem seien zusätzliche Threat-Intelligence-Funktionen sowie verbesserte Erkennungs- und Präventionstechnologien sowohl in der Entwicklungs- wie auch in der Produktionsumgebung implementiert worden.

Passwort-Manager – ein attraktives Ziel

Während das Motiv der LastPass-Hacker weiterhin unbekannt bleibt, beobachtet Melissa Bischoping, Research-Spezialistin für Endpunktsicherheit beim Security-Anbieter Tanium, dass Passwort-Manager ein schwieriges, aber attraktives Ziel für Bedrohungsakteure sind: "Wenn diese Anbieter erfolgreich angegriffen werden, geben sie - im wahrsten Sinne des Wortes - im Handumdrehen den Zugang zu Hunderttausenden von Konten und sensiblen Kundendaten frei." Ebenfalls nicht bekannt ist, wie das Entwicklerkonto kompromittiert wurde. "Vermutlich verfügt LastPass über angemessene Authentifizierungskontrollen, manchmal reichen jedoch selbst diese aus verschiedenen Gründen nicht aus", weiß Rajiv Pimplaskar, CEO des Sicherheitsanbieters Dispersive Holdings.

Taylor Ellis, Analystin für Kundenbedrohungen beim Sicherheitsanbieter Horizon3.ai, lobt LastPass für die Art und Weise, wie der Anbieter mit einem Vorfall umgeht: "Wann immer eine Sicherheitsverletzung auftritt, gelingt es vielen Unternehmen nicht, den Vorfall schnell zu isolieren, oder sie wissen nicht, wie sie eine angemessene Untersuchung durchführen sollen. Als erfahrenes Sicherheitsunternehmen hatte LastPass zumindest einen Heimvorteil, indem es die richtigen Verfahren befolgte, das Problem rechtzeitig isolierte und verhinderte, dass seine Kunden durch den Verstoß ernsthaft beeinträchtigt wurden." (fm/ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.