Der führende Passwort-Manager LastPass und sein Tochterunternehmen, der Anbieter von Kommunikationssoftware GoTo, gaben bekannt, dass sie nach einem Cyberangriff im August 2022 einen Verstoß gegen ihre Cloud-Speicherinfrastruktur erlitten haben.
In einem Update (öffnet sich in einem neuen Tab) zu dem aktuellen Vorfall gibt das Unternehmen zu, kürzlich „ungewöhnliche Aktivitäten“ innerhalb eines Cloud-Speicherdienstes eines Drittanbieters festgestellt zu haben, der sowohl von LastPass als auch von GoTo genutzt wird.
Die Ergebnisse der LastPass-Untersuchung, die von Karim Toubba, CEO von LastPass, unterzeichnet wurde und an der Sicherheitsexperten von Mandiant beteiligt waren, zeigten, dass jemand die während des Vorfalls durchgesickerten Anmeldeinformationen verwendet hat, um Zugriff auf „bestimmte Elemente“ von Informationen von LastPass-Kunden zu erhalten.
Passwörter sind sicher
Toubba erklärte nicht, auf welche Art von Daten zugegriffen wurde, sagte aber, dass die Passwörter der Benutzer nicht geändert wurden.
„Dank der Zero-Knowledge-Architektur von LastPass bleiben die Passwörter unserer Kunden sicher verschlüsselt“, sagte er.
„Während unsere Ermittlungen noch andauern, haben wir einen Eindämmungszustand erreicht, zusätzliche verstärkte Sicherheitsmaßnahmen umgesetzt und sehen keine weiteren Hinweise auf unbefugte Aktivitäten.“
Als einer der beliebtesten professionellen Passwort-Manager und -Generatoren, dem täglich über 100 Unternehmen vertrauen, sind LastPass Datenschutzverletzungen durch Cyberkriminelle nicht fremd.
TechRadar Pro berichtete zuvor, dass das Unternehmen Ende September 2022 bestätigte, dass der Bedrohungsakteur, der für die ursprüngliche Verletzung im August verantwortlich war, sich tagelang in seinem Netzwerk versteckte, bevor er rausgeschmissen wurde.
Allerdings war der Angreifer zu diesem Zeitpunkt nicht in der Lage, auf interne Kundendaten oder verschlüsselte Passworttresore zuzugreifen. LastPass sagt, dass die neueste Entwicklung das dank seiner Zero-Knowledge-Architektur (wird in einem neuen Tab geöffnet) nicht geändert hat.
„Obwohl der Bedrohungsakteur in der Lage war, Zugriff auf die Entwicklungsumgebung zu erhalten, verhinderten unser Systemdesign und unsere Kontrollen, dass er auf Kundendaten oder verschlüsselte Passwort-Tresore zugreifen konnte“, sagte Toubba damals.
Offenbar konnte der Angreifer über einen kompromittierten Entwicklerendpunkt auf die Entwicklungsumgebung des Unternehmens zugreifen.
Untersuchung und Forensik waren nicht in der Lage, die genaue Methode zu bestimmen, die für die anfängliche Kompromittierung des Endpunkts verwendet wurde. Toubba sagte, die Angreifer nutzten ihren dauerhaften Zugriff, um sich als Entwickler auszugeben, nachdem sie sich erfolgreich mit der Multi-Faktor-Authentifizierung authentifiziert hatten.