Der beliebte Passwortverwaltungsdienst LastPass war ein häufiges Ziel von Sicherheitsverletzungen. Dieser Angriff nutzte Informationen aus der Verletzung im August 2022. LastPass ist stolz auf das Prinzip, seiner Benutzerbasis das Leben zu erleichtern. Nach zwei großen Hacks sind viele unsicher, ob es sich lohnt, den Dienst zu nutzen.
In einer kürzlich erschienenen Blog veröffentlichte LastPass, dass sich ein nicht autorisierter Akteur Zugriff auf den Cloud-Dienst verschafft hat, der für Produktionssicherungen verwendet wird. Bei der letzten Sicherheitsverletzung im August haben unbefugte Benutzer keine Kundendaten preisgegeben.
Die Angreifer erlangten jedoch während des letzten Angriffs persönliche Informationen. LastPass behauptet, dass die betroffenen Daten mit dem AES-Standard verschlüsselt sind, aber dies ist besorgniserregend, da die Angreifer auch Zugriff auf Rechnungsadressen, IPs und andere persönliche Daten erhalten haben.
Wie wirkt sich das auf LastPass-Benutzer aus?
LastPass bestätigt dass unter den kompromittierten Daten Passwörter und andere personenbezogene Datenteile vorhanden waren. Dies ist kein ernsthaftes Problem, wenn Sie gute Passwortpraktiken haben. Wenn Sie dazu neigen, Passwörter wiederzuverwenden, ist dies möglicherweise ein Grund zur Sorge. Das Unternehmen gibt an, dass die offengelegten Daten verschlüsselt und für Hacker nutzlos sind.
Große Bedenken ergeben sich daraus, dass LastPass zahlreiche Zugangsdaten wie Kreditkartennummern, Passwörter und vertrauliche Notizen und Dokumente speichert. Als Unternehmen, das sich selbst als sicheres Mittel zur Konsolidierung und Speicherung von Anmeldeinformationen anpreist, ist es undenkbar, dass ein so schwerwiegender Verstoß auftritt.
Das sagte der CEO von LastPass Cloud-Speicherschlüssel wurden von einem LastPass-Mitarbeiter gestohlen.
Aktuelle LastPass-Kunden sollten sich die Zeit nehmen, ihre Master-Passwörter zu ändern. Sie könnten auch erwägen, ihre Daten zu einem alternativen Dienst zu verschieben.
LastPass bietet seit Jahren einen hervorragenden kostenlosen Plan. Diese jüngste Enthüllung hat die Details vieler persönlicher Leben in den Händen von schlechten Schauspielern hinterlassen. 25,6 Millionen Kunden nutzen LastPass. Wenn auch nur ein Bruchteil dieser Benutzer aktiv ist, sind sie gefährdet.
Brauche ich einen Passwort-Manager?
Wenn Sie wie jeder andere auf der Welt sind, haben Sie Dutzende auf Hunderte von Passwörtern über mehrere Dienste hinweg. Gute Passwortpraktiken können es zu einer lästigen Pflicht machen, all diese Passwörter im Auge zu behalten.
Wenn Sie der Meinung sind, dass ideale Passwortpraktiken die Verwendung von Passwörtern mit einer Größe von mehr als 12 Zeichen und ohne gemeinsame Phrasen vorschreiben, ist es ein bisschen schwierig, ein System zum Merken von Dingen zu entwickeln.
Passwortmanager sind nützliche Dienstprogramme und erleichtern die Verwaltung der unzähligen Anmeldeinformationen. Ein Passwort-Manager ist jedoch nur so gut wie das Support-Netzwerk dahinter.
LastPass hat viele Konkurrenten, von denen einige die Reaktion auf diesen jüngsten Vorfall sogar lautstark anprangern. Die traurige Wahrheit ist, dass jeder Passwort-Manager mit einer Online-Komponente ein Ziel für Angriffe ist.
Wenn Sie einen Passwort-Manager in Betracht ziehen, ist KeePassXC ein lokaler. Es speichert alle Ihre wichtigen Informationen in einem Tresor auf Ihrem Desktop oder Laptop. Es fehlt die mobile Funktionalität, aber die Software kann kostenlos verwendet werden, ohne dass monatliche Pläne verbunden sind. Online-Alternativen wie 1Password, BitWarden und andere sind ebenfalls großartig. Angriffe sind ihnen nicht fremd, aber Sie möchten eine Passwortverwaltung mit transparenter Kommunikation im Falle eines Vorfalls.
Blick auf die LastPass-Verletzung
Im August 2022 hat ein Angreifer einen Dritten kompromittiert-Party-Cloud-Dienst, bei dem LastPass Produktionsdaten gespeichert hat. Der Hacker konnte den Angriff über einen Zeitraum von vier Tagen durchführen. Sie bemerkten den Vorfall und führten zu diesem Zeitpunkt Abhilfemaßnahmen durch. Während dieses Vorgangs benachrichtigte LastPass Benutzer und Strafverfolgungsbehörden über die Verletzung und entfernte anschließend die Entwicklungsumgebung.
Im Dezember 2022 kam es zu einem katastrophaleren Vorfall mit vollständiger Offenlegung von Benutzertresoren, Rechnungsinformationen, persönlichen Informationen und IP-Adressen. Credential Stuffing oder die Verwendung gestohlener Benutzernamen und Passwörter ist die Angriffsmethode. Diese Methode verwendet automatisierte Tools, um gestohlene Benutzernamen und Passwortpaare einzugeben, bis eine erfolgreiche Eingabe erfolgt.
Dies ist ein iterativer Angriff, wobei der vorherige August-Angriff die Mittel für den Dezember-Angriff bereitstellte. Kundentresore und Passwörter sind gleichermaßen in den Händen von Hackern, und sie haben diese Daten offline gespeichert.
LastPass versichert den Benutzern, dass verschlüsselte persönliche Daten unmöglich zu knacken sind, aber jeder mit dem Antrieb und den Mitteln kann etwas knacken, wenn er genügend Zeit hat. Es stellt sich auch die Frage, warum die vorherige Produktionsumgebung von LastPass unsicher war. Hacker nutzten die vorherige Umgebung, um in nur vier Monaten unzählige Benutzerkonten zu kompromittieren.
Wichtige Assets von LastPass
Das digitale Leben einer Person wird schnell zu einem kritischen Gut.
LastPass verfügt über eine große Menge sensibler Daten für diejenigen, die ihre Dienste nutzen. Als professionelle Geheimhalter speichern sie Dinge wie Bankinformationen, Kreditkartennummern und Passwörter für eine Vielzahl von Konten. Die Zahlungsinformationen lassen sich leicht ändern und kontrollieren, bevor sie zu einem Problem werden.
LastPass ist nicht einzigartig in dem, was es speichert. Die meisten Passwort-Manager verfügen über ein gewisses Maß an persönlich sensiblen Identifizierungsinformationen. Dies ist Teil ihrer erklärten Ziele, hinterlässt aber auch ein verlockendes Ziel für böswillige Parteien, die von diesen Daten profitieren wollen.
Was Sie tun können, um Ihre Passwörter zu schützen
Der Schutz Ihrer Passwörter ist ein kontinuierlicher Prozess und kein Break-and-Fix-Szenario. Kennwörter müssen regelmäßig geändert werden, und die meisten Unternehmens-und Geschäftsumgebungen erfordern regelmäßige Änderungen. Sie können Passwörter in einem Passwort-Manager eines Drittanbieters speichern, aber Sie müssen sie ändern und aktualisieren.
Wenn Ihre persönlichen Zugangsdaten kompromittiert werden, muss sich alles so schnell wie möglich ändern. Dies bedeutet Passwörter, Master-Passwörter, alle potenziellen Bankkarteninformationen und so weiter. Ihre Daten sind sensibel, behandeln Sie sie also wie Wertsachen in Ihrem Zuhause.
Solange es eine Möglichkeit gibt, davon zu profitieren und andere auszubeuten, sind Ihre personenbezogenen Daten gefährdet. Aber vorbeugende und proaktive Schritte wie kontinuierliche Änderungen sind ein großer Beitrag zur Abschreckung von Ausbeutung.
Einige Anmerkungen zur Cybersicherheit und zu Ihnen
Cybersicherheit ist ein kontinuierlicher Prozess. Das bedeutet, dass es für kein Problem eine harte Lösung gibt, sondern Lösungen im Jetzt. Zukünftige Probleme werden ständig auftreten, das ist einfach die Art, wie Hacker und Sicherheitspersonal vorgehen. Es ist ein sich ständig weiterentwickelndes Feld, und jeder Angriff erfordert ausgefeiltere Lösungen, die in der Zwischenzeit behoben werden müssen.
Das Sicherheitspersonal von LastPass hat nicht unbedingt nachgelassen. Sie sind kommunikativ und transparent geblieben, was diesen Angriff angeht. Weitere Schritte hätten unternommen werden können, um den Angriff zu verhindern.
Es muss Produktionsspeicher verschlüsseln und Whitelisting verwenden, um zu verhindern, dass unbefugte Benutzer den Dienst überhaupt sehen. Stattdessen ist das, was gesehen wurde, ein Versagen in Phasen. Ihre Sicherheit, oder jedes andere Unternehmen, ist nur so stark wie das schwächste Element, das Sie einsetzen.
Ein Cloud-Drittanbieter hat LastPass kompromittiert, und infolgedessen wurde der Dienst, dem LastPass-Kunden vertrauten, kompromittiert. Die vollen Auswirkungen dieses Angriffs sind noch nicht bekannt, aber aktive Abonnenten sollten sofort Maßnahmen ergreifen, um ihre Konten zu sichern.
Im Nachhinein gibt es ein Dutzend Lösungen für Dinge. Aber im Moment ist das Einzige, was Sie tun müssen, nach vorne zu schauen und Maßnahmen zu ergreifen, um sich sofort zu schützen.
LastPass erleidet zweiten Verstoß in sechs Monaten FAQs (Häufig gestellte Fragen)
Wie schwerwiegend ist die Verletzung von LastPass?
Benutzerdaten wurden kompromittiert. Obwohl die Verschlüsselung für den gesamten Speicher auf der Seite von LastPass verwendet wird, hat sie dennoch schlimme Folgen für jede unglückliche Person, deren Master-Passwort geknackt wird. Alle gespeicherten Passwörter sind derzeit offline auf dem Speicher eines Angreifers, sodass dieser genügend Zeit hat, verschiedene Methoden auszuprobieren, um den Tresor zu knacken.
Kommen Verstöße bei Passwortmanagern häufig vor?
strong>
Passwort-Manager-Dienste sind ein attraktives Ziel für Hacker. Es ist üblich, dass sie das Ziel von Angriffen sind. Wo sich die Dinge unterscheiden könnten, ist, wie diese Dienste auf die Angriffe reagieren. Wenn Sie einen Online-Passwort-Manager in Betracht ziehen, sollte eine kleine oberflächliche Recherche zu Ergebnissen führen, wie sie effektiv auf Angriffe reagieren.
Was bedeutet dieser Angriff für LastPass?
Der Verstoß ereignete sich am 2. Dezember, und zum Zeitpunkt des Verfassens dieses Artikels wird der Umfang des Verstoßes selbst noch untersucht. Das letzte Update wurde am 22. Dezember veröffentlicht, und es kann bei so komplexen Vorgängen ziemlich lange dauern, bis man weiß, wohin die Dinge gehen.
Ob dies langfristig schwerwiegende Folgen für LastPass hat, bleibt abzuwarten , aber es hat ihnen sicherlich einiges an Kritik aus dem Sicherheitsbereich eingebracht.
Sind Passwort-Manager sicher?
Jeder Online-Dienst ist es nur so sicher wie das schwächste Element in seiner Werkzeugkette. Viele Online-Plattformen haben dazu übergegangen, bestimmte Elemente ihrer Produktionsumgebungen in die Cloud auszulagern, und die Cloud birgt ihre eigenen Risiken.
Cloud-Dienste sind externe Plattformen, was bedeutet, dass die Organisation, die sie verwaltet, dies auch ist Verwaltung ihrer Sicherheit. Die Sicherheit für die Unternehmen, die die Cloud-Dienste beauftragen, hat keinen Einfluss auf die Sicherheitsüberlegungen des Cloud-Anbieters.
Das bedeutet, dass im Falle einer Kompromittierung, wie bei LastPass im August dieses Jahres, ein sehr großer Schaden entsteht ernstes Risiko, bei dem beide Unternehmen sich anstrengen müssen, um Probleme zu beheben.
Warum ist Cybersicherheit ein sich entwickelnder Prozess?
Die Art und Weise, wie man Cybersicherheit sieht, ist wie eine Wettrüsten. Kriminelle entwickeln Tools, die mit jedem Jahr ausgefeilter werden, und das Sicherheitspersonal ist gezwungen, sich an diese Tools anzupassen und darauf zu reagieren.
Es ist eine ständige Push-and-Pull-Routine, um nur die allgemeine Sicherheit aufrechtzuerhalten eine Organisation. Sicherheit ist mit einer Reihe von Vorbehalten verbunden, wie z. B. ständige Audits, obligatorische Compliance für sensible Branchen und das Risiko rechtlicher Schritte im Falle eines schwerwiegenden Fehlers.
Die Beschäftigung für Sicherheitspersonal ist seit Beginn gestiegen der Pandemie, selbst während der Einstellungsstopps und Entlassungen, die von großen Technologiegiganten wie Meta, Amazon und Twitter beobachtet wurden.