LastPass hat gemeldet, dass der Heimcomputer eines DevOps-Ingenieurs kompromittiert wurde, um während der Datenpanne im August 2022 Passwort-Tresordaten zu stehlen.
Verlorene LastPass-Vault-Daten bei der Datenschutzverletzung 2022
Der Passwort-Manager LastPass hat weitere Informationen über seine Datenpanne im August 2022 veröffentlicht und erklärt, dass der Heimcomputer eines DevOps-Ingenieurs gehackt wurde, um Passwort-Tresordaten zu stehlen.
Am 27. Februar 2023 veröffentlichte LastPass eine Sicherheitsempfehlung bezüglich der im August 2022 erlittenen Datenschutzverletzung. LastPass hat die Leser bereits darüber informiert, dass bei dem Angriff auf Kundendatentresore zugegriffen wurde ein weiterer Angriff findet im November 2022 statt das war mit dem ersten verbunden. Aus dem ersten Treffer wurden angeblich auch 53.000 Dollar in Bitcoin gestohlen, aus denen eine Sammelklage eingereicht wurde.
Im LastPass-Sicherheitshinweis, wurde geschrieben, dass der böswillige Betreiber während des Angriffs im August 2022 in der Lage war, „gültige Anmeldeinformationen zu nutzen, die einem leitenden DevOps-Ingenieur gestohlen wurden, um auf a gemeinsam genutzte Cloud-Speicherumgebung, was es den Ermittlern anfangs erschwerte, zwischen Aktivitäten von Bedrohungsakteuren und laufenden legitimen Aktivitäten zu unterscheiden."
Der DevOps-Ingenieur hatte Zugriff auf Entschlüsselungsschlüssel, was sie zu einem Hauptziel für den Angreifer machte. Diese Schlüssel ermöglichten den Zugriff auf die Cloud-Speicherdienste von LastPass, die LastPass-Kundendaten und verschlüsselte Tresordaten enthalten. Nur vier LastPass-DevOps-Ingenieure hatten Zugriff auf diese Schlüssel, wobei nur einer erfolgreich angegriffen wurde.
LastPass erklärte auch, dass „der Bedrohungsakteur vom ersten Vorfall, der am 12. August 2022 endete, abweichte, aber aktiv beteiligt war in einer neuen Reihe von Aufklärungs-, Aufzählungs- und Exfiltrationsaktivitäten, die auf die Cloud-Speicherumgebung ausgerichtet sind und sich überspannen 12. August 2022 bis 26. Oktober 2022.“ Erst als AWS GuardDuty Alerts LastPass über ungewöhnliche Aktivitäten informierte, wurde das Problem behoben hervorgehoben.
Ein Softwarepaket wurde ausgenutzt, um den Ziel-PC zu kompromittieren
Um den Heimcomputer des DevOps-Ingenieurs zu hacken, nutzte der Angreifer ein verwundbares Software-Medienpaket eines Drittanbieters aus. Durch diesen Exploit konnte der Angreifer eine Remotecodeausführung ermöglichen und durchführen, was zur Installation von Keylogger-Malware führte. Dieser Keylogger wurde dann verwendet, um das Master-Passwort des Mitarbeiters zu stehlen und auf den Tresor des LastPass-Unternehmens zuzugreifen.
Nach dem Zugriff auf den Tresor exportierte der böswillige Akteur sowohl die Tresoreinträge als auch den Inhalt des freigegebenen Ordners. Innerhalb der exportierten Daten befanden sich verschlüsselte sichere Notizen sowie LastPass-Entschlüsselungsschlüssel. Diese Schlüssel wurden benötigt, um „auf die AWS S3 LastPass-Produktionssicherungen, andere Cloud-basierte Speicherressourcen und einige verwandte kritische Datenbanksicherungen zuzugreifen“.
LastPass hat Benutzer, die seine Integrität in Frage stellen
Während einige Benutzer die Transparenz von LastPass in Bezug auf diesen Vorfall schätzen, sind viele verärgert über die anhaltenden Sicherheitsprobleme, unter denen das Unternehmen leidet. Bestürzte Benutzer haben Twitter genutzt, um ihren Gefühlen über die Sicherheitsintegrität von LastPass Luft zu machen. Wie unten zu sehen ist, kritisierte eine Person die Entscheidung von LastPass, bestimmten Mitarbeitern Zugriff auf einen entschlüsselten Passwort-Tresor zu gewähren.
Der Ruf von LastPass scheint durch diese Angriffe beschädigt zu sein
Nachdem in den letzten Jahren zahlreiche Sicherheitsprobleme aufgetreten sind, fragen sich die Leute nun, ob LastPass eine legitime Option für die Speicherung von Passwörtern ist. Da einige Benutzer LastPass bereits hinter sich gelassen haben, ist nicht abzusehen, wie dieser Passwort-Manager diesen Sturm überstehen wird.