Die Muttergesellschaft des Passwort-Manager-Dienstes LastPass, die Ende 2022 enthüllte, dass die Passwort-Tresore ihres gesamten Kundenstamm nun in den Händen von Kriminellen waren, hat bekannt gegeben, dass Verschlüsselungsschlüssel für einige seiner anderen Produkte gewesen sind auch kompromittiert.
Was bedeutet das für seine Nutzer?
Was war die LastPass-Datenpanne 2022?
LastPass und seine Kunden hatten 2022 nicht das beste Jahr. Im August kündigte das Unternehmen in einem Understatement an Blogeintrag dass Kriminelle Zugriff auf die LastPass-Entwicklungsumgebung, den Quellcode und technische Informationen hatten. Die Sprache war beruhigend und bezeichnete "ungewöhnliche Aktivitäten" und den Vorfall als "eine Entwicklung". Ein FAQ-Bereich versicherte Kunden, dass ihre Tresore, Kennwörter und Master-Kennwörter sicher seien, und erklärte gleichzeitig: „Wir empfehlen keine Maßnahmen im Namen unserer Benutzer oder Administratoren“.
Einen Monat später, nach einer Untersuchung in Zusammenarbeit mit Mandiant, wurde der ursprüngliche Blogpost aktualisiert, um die LastPass-Benutzer darin zu beruhigen Es gebe „keine Hinweise darauf, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passworttresore beinhaltete“, und bevormundete die Nutzer weiter Bestätigung, dass "Sicherheitsvorfälle jeglicher Art beunruhigend sind, aber [wir] möchten Ihnen versichern, dass Ihre persönlichen Daten und Passwörter in unserem sicher sind Pflege."
Ende November 2022 wurde der Blog jedoch erneut aktualisiert, in einem Eingeständnis, dass es den Eindringlingen gelungen war, „bestimmte Elemente unserer Kundeninformationen“ zu entwenden.
Endlich, In einem Update vom Dezember 2022 räumte LastPass auf auf die Tatsache, dass es Kriminellen gelungen war, die persönlichen Datentresore von Millionen von Kunden zu exfiltrieren, die unverschlüsselte Website-URLs und Website-Namen enthielten, sowie verschlüsselte Benutzernamen und Passwörter, zusammen mit Sicherungsdaten, einschließlich Kundennamen, Adressen und Telefonnummern, E-Mail-Adressen, IP-Adressen und teilweise Kreditkarten Zahlen.
Auch hier versuchte LastPass, den Reputationsschaden einzudämmen und erklärte: „Es würde Millionen von Jahren dauern, Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten.“
Schlimmeres für LastPass-Benutzer?
LastPass ist ein unabhängiges Unternehmen im Besitz von GoTo (ein SaaS-Anbieter, früher bekannt als LogMeIn), und während die Verletzung von LastPass am meisten eingebracht hat Achtung, die anfängliche Durchdringung erfolgte durch einen Cloud-Speicherdienst eines Drittanbieters, der sowohl von GoTo als auch von GoTo verwendet wird LastPass. Als LastPass kompromittiert wurde, war es auch GoTo. Bedrohungsakteure haben es geschafft, verschlüsselte Backups beider Unternehmen zu exfiltrieren.
Am 23. Januar 2023, GoTo veröffentlichte eine Erklärung in seinem Blog dass es „Beweise dafür hat, dass ein Angreifer einen Verschlüsselungsschlüssel für einen Teil der verschlüsselten Backups exfiltriert hat“, und zusätzlich das Einstellungen für Multi-Factor Authentication (MFA). einer kleinen Teilmenge ihrer Kunden waren betroffen.
Das bedeutet, dass die Kriminellen ihre gestohlenen Waren leicht entschlüsseln können, ohne dafür Millionen von Jahren warten zu müssen.
Es ist ungewiss, ob auch LastPass-Vault-Verschlüsselungsschlüssel exfiltriert wurden.
Berichte über kompromittierte LastPass-Vaults
Fast unmittelbar nach der Veröffentlichung des Dezember-Updates wurde MUO von Lesern kontaktiert, die behaupteten, dass einmalige Passwörter die nur in LastPass-Tresoren gespeichert waren, wurden von Kriminellen für den Zugriff auf Online-Konten verwendet, was zum SIM-Tausch führte Anschläge.
Auf Twitter berichteten Benutzer, dass Krypto-Wallets angegriffen und ihrer Inhalte beraubt wurden – diese Seeds wurden Berichten zufolge ausschließlich in LastPass-Tresoren gespeichert.
LastPass hat sich bisher weder mit diesen Gerüchten noch mit den Enthüllungen seiner Muttergesellschaft befasst.
GoTo hat zumindest begonnen, betroffene Benutzer zu kontaktieren, und alle Passwörter wurden automatisch zurückgesetzt.
Ändern Sie Ihre Passwörter für alles
Es gibt Passwortverwaltungsdienste, um Ihre Passwörter sicher und unschätzbar zu halten. Wenn Kriminelle die Schlüssel zu diesem Tresor haben, kann jeder Ihre Passwörter verwenden, wie er möchte.
Das erste, was Sie tun sollten, ist, Ihre Passwörter für jeden Dienst zu ändern, auf den Sie jemals online zugegriffen haben. Wenn möglich, sollten Sie auch einen eindeutigen Benutzernamen und eine eindeutige E-Mail-Adresse verwenden.
Es ist nie eine gute Idee, Ihre tiefsten Geheimnisse jemand anderem anzuvertrauen. BitWarden ist ein Passwort-Manager, den Sie auf Ihrer eigenen Hardware hosten können und der Benutzernamen, E-Mail-Aliase und Passwörter für jede von Ihnen besuchte Website generiert. Da Sie es auf Ihrem eigenen Computer ausführen, müssen Sie Ihre Passwörter nicht der zweifelhaften Obhut eines anderen Unternehmens überlassen.