Einer der großen Namen bei Passwort-Managern, LastPass, wurde letzten August gehackt. Damals behauptete das Unternehmen, dass keine Benutzerdaten kompromittiert wurden.
Ein Update im Dezember enthüllte, dass die Hacker dann eine Phishing-Kampagne gegen einen LastPass-Mitarbeiter starteten und Zugangsdaten und Schlüssel erlangten, die sie zum Entschlüsseln einiger grundlegender Kundendaten verwendeten, aber Passwörter oder Benutzernamen blieben sicher.
Schwinken Sie immer noch von diesen vergangenen Angriffen? LastPass hat gerade weitere schlechte Nachrichten veröffentlicht. Wenn Sie Kunde sind, werden Sie dies lesen wollen.
Beliebter Passwort-Manager erneut gehackt
In einem Beitrag mit dem Titel „Vorfall 2 – Zusätzliche Details des Angriffs“, gab LastPass bekannt, dass der zweite Angriff schädlicher war als ursprünglich angenommen. Das Folgende ist eine Zeitleiste der Ereignisse.
Der erste Angriff
Im August gab LastPass bekannt, dass ein Bedrohungsakteur sich über ein einzelnes kompromittiertes Entwicklerkonto unbefugten Zugriff verschafft hat. Der Hacker stahl verschlüsselte LastPass-Anmeldeinformationen, Quellcode und urheberrechtlich geschützte technische Informationen von LastPass.
Kostenloses digitales Leben und technische Tricks, um Sie schlauer zu machen
Lernen Sie die technischen Tipps und Tricks, die nur die Profis kennen.
LastPass sagte, Kundendaten seien sicher, wie die Entschlüsselungsschlüssel können nur aus folgenden Quellen abgerufen werden:
Streng bewachte lokale Rechenzentren.Eine stark eingeschränkte Gruppe von freigegebenen Ordnern in einem LastPass-Passwort-Manager-Tresor, der von nur vier DevOps-Ingenieuren für Verwaltungsaufgaben verwendet wird.
Dieser Angriff endete am 12. August 2022.
Der zweite Angriff
Die Hacker starteten dann eine Phishing-Kampagne gegen einen Mitarbeiter und erbeuteten Zugangsdaten und Schlüssel, die sie früher hatten Zugriff und Entschlüsselung von Speichervolumes innerhalb des Cloud-basierten Speicherdienstes.
Der virtuelle Speicher enthielt grundlegende Kundenkontoinformationen und zugehörige Metadaten, einschließlich Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen, von denen aus Kunden auf LastPass zugegriffen haben.
Der zweite Angriff lief vom 12. August bis zum 26. Oktober 2022.
VERBUNDEN: Schützen Sie Ihr Telefon: Maßnahmen, die Sie ergreifen sollten, wenn Ihr Gerät verloren geht , gestohlen oder beschädigt
Was wir jetzt wissen
Während des zweiten Angriffs nutzte der Angreifer Informationen aus dem ersten, um Anmeldeinformationen von einem der vier leitenden DevOps-Ingenieure mit Zugriff zu stehlen zu den freigegebenen Ordnern, die Entschlüsselungsschlüssel enthalten. Dies geschah, bevor LastPass das System nach dem ersten Angriff zurücksetzte.
Für die Ermittler ähnelte die Aktivität des Bedrohungsakteurs einer legitimen Aktivität, sodass sie es erst bemerkten, als es zu spät war.
Der Angreifer zielte auf den Heimcomputer des DevOps-Ingenieurs ab und nutzte anfällige Mediensoftware von Drittanbietern aus, um die Remotecodeausführung zu ermöglichen. Der Angreifer installierte Keylogger-Malware und erfasste das Master-Passwort des Mitarbeiters, als er es nach der Multi-Faktor-Authentifizierung eingab.
Der Angreifer erhielt dann Zugriff auf den LastPass-Unternehmenstresor des DevOps-Ingenieurs, der verschlüsselte und unverschlüsselte LastPass-Kundendaten enthielt.
Ein Sicherheitsbulletin von Karim Toubba, CEO von LastPass, besagt dies Die Master-Passwörter der Endbenutzer wurden aufgrund der Zero-Knowledge-Architektur von LastPass nicht kompromittiert – nur Sie haben diese Informationen.
Was nach einem weiteren LastPass-Hack zu tun ist
Sie können argumentieren, dass LastPass nach diesen Vorfällen stärker sein wird. Das Unternehmen implementiert eine Reihe von Sicherheitsmaßnahmen, wie z. B. die Unterstützung des gehackten DevOps-Ingenieurs bei der Stärkung der Sicherheit seines Heimnetzwerks.
Wir müssen fragen: Warum waren diese Informationen überhaupt auf dem Heimcomputer des Mitarbeiters verfügbar? Es ist schwer, sich mit einem Unternehmen zu arrangieren, wenn das Vertrauen gebrochen ist. Wenn Sie LastPass-Kunde sind, sollten Sie Ihr Master-Passwort sofort ändern.
Unabhängig davon, ob Sie LastPass verwenden oder nicht, hier sind einige Vorsichtsmaßnahmen zu treffen:
Verwenden Sie stark und eindeutig Passwörter: Hier finden Sie 10 wertvolle Tipps zu Passwörtern.Verwenden Sie niemals dasselbe Passwort für mehrere Konten: Durch eine als Credential Stuffing bekannte Technik verwenden Hacker in der Hoffnung, dieselben gestohlenen Passwörter für verschiedene Dienste zu verwenden Duplikate finden. Verwenden Sie, sofern verfügbar, immer die Zwei-Faktor-Authentifizierung: Diese zusätzliche Sicherheitsmaßnahme macht es Hackern schwer, in Konten einzudringen, ohne dass der Sicherheitscode an Ihr Telefon oder eine Authentifizierungs-App gesendet wird. Hier finden Sie weitere Informationen zu 2FA.Antivirus ist lebenswichtig: Sorgen Sie immer dafür, dass ein vertrauenswürdiges Antivirenprogramm auf allen Ihren Geräten aktualisiert und ausgeführt wird. Wir empfehlen unseren Sponsor TotalAV. Holen Sie sich jetzt einen Jahresplan mit TotalAV für nur 19 $ unter ProtectWithKim.com. Das sind über 85 % Rabatt auf den regulären Preis!
Lesen Sie weiter
Profi-Tipp: So teilen Sie Passwörter sicher
Diese Messaging-App hat Sprachdaten von Kunden preisgegeben. Ist es auf deinem Handy?