Das letzte Jahr war für den Passwort-Manager LastPass ein besonders schlechtes Jahr, da eine Reihe von Hacking-Vorfällen einige schwerwiegende Schwachstellen in seiner angeblich grundsoliden Sicherheit aufdeckten. Jetzt wissen wir genau, wie diese Angriffe abliefen – und die Fakten sind ziemlich atemberaubend.
Alles begann im August 2022, als LastPass enthüllte, dass ein Bedrohungsakteur dies getan hatte den Quellcode der App gestohlen. In einem zweiten, darauffolgenden Angriff kombinierte der Hacker diese Daten mit Informationen, die er bei einem separaten Datenverstoß gefunden hatte, und nutzte dann eine Schwachstelle in einer Fernzugriffs-App aus, die von LastPass-Mitarbeitern verwendet wurde. Dadurch konnten sie einen Keylogger auf dem Computer eines leitenden Ingenieurs des Unternehmens installieren.
Sobald dieser Keylogger installiert war, konnten die Hacker das LastPass-Master-Passwort des Ingenieurs erbeuten wie es betreten wurde, und gewährte ihnen Zugang zum Tresor des Mitarbeiters – und zu allen darin enthaltenen Geheimnissen innerhalb.
Verwandt
- Hacker haben möglicherweise den Hauptschlüssel eines anderen Passwort-Managers gestohlen
- NordPass bietet Passkey-Unterstützung, um Ihre schwachen Passwörter zu verbannen
- Hacker haben tief in die massive LastPass-Sicherheitslücke eingegraben
Sie nutzten diesen Zugriff, um den Inhalt des Tresors zu exportieren. Zwischen den Daten befanden sich die Entschlüsselungsschlüssel, die zum Entschlüsseln der im Cloud-Speichersystem von LastPass gespeicherten Kunden-Backups erforderlich waren.
Empfohlene Videos
Das ist wichtig, da LastPass Produktions-Backups und wichtige Datenbank-Backups in der Cloud aufbewahrte. Außerdem wurden große Mengen sensibler Kundendaten gestohlen, obwohl es den Hackern offenbar nicht gelungen ist, diese zu entschlüsseln. Details zur LastPass-Supportseite genau das, was gestohlen wurde.
Fragwürdige Transparenz
Zum Glück für LastPass-Benutzer scheinen die sensibelsten Daten der Kunden – wie (die meisten) E-Mail-Adressen und Passwörter – mit einer Zero-Knowledge-Methode verschlüsselt zu werden. Das bedeutet, dass sie mit einem Schlüssel verschlüsselt wurden, der aus dem Master-Passwort jedes Benutzers abgeleitet wurde und LastPass unbekannt ist. Als die Hacker LastPass-Daten stahlen, konnten sie diese Entschlüsselungsschlüssel nicht erhalten, da sie nirgendwo von LastPass gespeichert wurden.
Allerdings wurden von den Bedrohungsakteuren zahlreiche wichtige Daten gestohlen. Dazu gehörten Backups der Multi-Faktor-Authentifizierungsdatenbank von LastPass, API-Geheimnisse, Kundenmetadaten, Konfigurationsdaten und mehr. Darüber hinaus scheint es neben LastPass noch zahlreiche andere Produkte zu geben wurden ebenfalls verletzt.
Auf einen Support-Seite, LastPass sagte, die Art und Weise, wie der zweite Angriff durchgeführt wurde – unter Verwendung echter Anmeldedaten der Mitarbeiter – machte es schwierig, ihn zu erkennen. Am Ende wurde dem Unternehmen klar, dass etwas nicht stimmte, als sein AWS GuardDuty Alerts-System es davor warnte Jemand hat versucht, seine Cloud Identity and Access Management-Rollen für unbefugte Zwecke zu nutzen Aktivität.
LastPass musste in den letzten Monaten viel Kritik an seinem Umgang mit den Angriffen einstecken, und diese Missbilligung wird angesichts der jüngsten Enthüllungen wahrscheinlich nicht nachlassen. Tatsächlich ging ein Sicherheitsunternehmen sogar so weit zu sagen, dass LastPass keine vertrauenswürdige App sei und dass die Benutzer dies auch tun würden Wechseln Sie zu anderen Passwort-Managern.
Derzeit versucht LastPass offenbar, seine Angriffsunterstützungsseiten vor Suchmaschinen zu verbergen, indem es Folgendes hinzufügt:”-Code zu den Seiten. Dadurch wird es für die Nutzer (und die ganze Welt) nur noch schwieriger herauszufinden, was passiert ist, und dies scheint kaum im Sinne von Transparenz und Rechenschaftspflicht zu erfolgen. Auch im Unternehmensblog wurde nichts veröffentlicht.
Wenn Sie LastPass-Kunde sind, ist es möglicherweise besser, eine alternative App zu finden. Zum Glück gibt es noch viele andere Hervorragende Passwort-Manager da draußen, der Ihre wichtigen Informationen zuverlässig schützen kann.
Empfehlungen der Redaktion
- Diese peinlichen Passwörter führten dazu, dass Prominente gehackt wurden
- Nein, 1Password wurde nicht gehackt – hier ist, was wirklich passiert ist
- Dieser große Passwort-Manager-Exploit wird möglicherweise nie behoben
- Die besten Passwort-Manager für 2023
- Verwenden Sie LastPass? Sie müssen dringend wechseln, sagt das Sicherheitsunternehmen
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
