Das Passwortverwaltungsunternehmen LastPass hat ein Update zu einer Sicherheitslücke veröffentlicht, die erstmals im August aufgedeckt wurde. Die Nachrichten sind nicht gut; Die Datenpanne ist erheblich schlimmer, als erste Berichte vermuten ließen.
LastPass sagt, dass seine Untersuchungen des Vorfalls nun zeigen, dass die Hacker in der Lage waren, an Kundentresordaten zu gelangen. Das Unternehmen weist darauf hin, dass diese Tresore sowohl verschlüsselte als auch unverschlüsselte Daten beherbergen, und versucht, die Bedeutung herunterzuspielen, die ein Angreifer hat, der Zugang zu unverschlüsselten Daten erhält.
Siehe auch:
In einem Update In seinem ersten Blogbeitrag rät LastPass seinen Benutzern: „Basierend auf unserer bisherigen Untersuchung haben wir erfahren, dass ein unbekannter Bedrohungsakteur auf eine Cloud-basierte Speicherumgebung zugegriffen hat, indem er Informationen aus dem Vorfall nutzte, den wir zuvor im August 2022 gemeldet hatten.“
Das Unternehmen fährt fort:
Während während des Vorfalls im August 2022 auf keine Kundendaten zugegriffen wurde, wurden einige Quellcodes und technische Informationen aus unserer Entwicklungsumgebung gestohlen und verwendet, um einen anderen Mitarbeiter anzugreifen , Abrufen von Anmeldeinformationen und Schlüsseln, die für den Zugriff auf und verwendet wurden einige Speichervolumes innerhalb des Cloud-basierten Speicherdienstes entschlüsseln.
In der Erklärung von LastPass-CEO Karim Toubba heißt es weiter:
LastPass-Produktionsdienste derzeit Betrieb von Rechenzentren vor Ort mit Cloud-basiertem Speicher, der für verschiedene Zwecke verwendet wird, z. B. zum Speichern von Backups und regionalen Anforderungen an die Datenresidenz. Der Cloud-Speicherdienst, auf den der Angreifer zugreift, ist physisch von unserer Produktionsumgebung getrennt.
Bisher haben wir festgestellt, dass der Angreifer nach Erhalt des Cloud-Speicherzugriffsschlüssels und der Entschlüsselungsschlüssel für duale Speichercontainer Informationen aus dem Backup kopiert hat, die grundlegende Kundenkontoinformationen und zugehörige Metadaten einschließlich Firmennamen enthielten-Benutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus Kunden auf den LastPass-Dienst zugegriffen haben.
Der Angreifer war auch in der Lage, eine Sicherungskopie der Kundentresordaten aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten. Diese verschlüsselten Felder bleiben mit 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch verwaltet. Die Verschlüsselung und Entschlüsselung von Daten wird nur auf dem lokalen LastPass-Client durchgeführt. Weitere Informationen zu unserer Zero-Knowledge-Architektur und unseren Verschlüsselungsalgorithmen finden Sie hier
Es gibt keine Hinweise darauf, dass auf unverschlüsselte Kreditkartendaten zugegriffen wurde. LastPass speichert keine vollständigen Kreditkartennummern und Kreditkarteninformationen werden nicht in dieser Cloud-Speicherumgebung archiviert.
Toubba spielt die Bedeutung dessen herunter, was sich herausgestellt hat: „Der Angreifer könnte versuchen, mit roher Gewalt Ihr Master-Passwort zu erraten und die Kopien der Tresordaten zu entschlüsseln, die er mitgenommen hat Hashing-und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden verwenden, wäre es äußerst schwierig, zu versuchen, Master-Passwörter für Kunden, die unserem Passwort folgen, mit Brute-Force-Rate zu erraten Best Practices“.
Es ist nicht klar, wie viele Benutzer von der neuesten Wendung in der Geschichte betroffen sind, aber LastPass hat weitere Informationen und Ratschläge bereitgestellt hier.
Bildnachweis: monticello/depsitphotos