Der verheerende Verstoß gegen LastPass im letzten Jahr wurde auf eine Keylogging-Malware zurückgeführt, die heimlich auf dem Heimcomputer eines Mitarbeiters installiert wurde.
Am Montag, LastPass bereitgestellt(Öffnet in einem neuen Fenster) Weitere Details zu dem Verstoß, der das Vertrauen in einen der beliebtesten Passwort-Manager auf dem Markt erschüttert hat. Das Unternehmen verlor verschlüsselte Passwort-Tresordaten für alle Kunden an einen Hacker, der wochenlang heimlich in LastPass-Systemen herumstöberte.
Eine offene Frage war, wie der Übeltäter trotz seiner verschiedenen Sicherheitsvorkehrungen in LastPass eingebrochen war. Das Unternehmen bewahrte seine verschlüsselten Passwort-Tresordaten in einem Cloud-basierten Sicherungssystem auf, für dessen Eingabe sowohl Amazon AWS-Zugriffsschlüssel als auch die von LastPass generierten Entschlüsselungsschlüssel erforderlich waren.
Am Montag aktualisieren(Öffnet in einem neuen Fenster), fügte LastPass hinzu, dass nur vier DevOps-Ingenieure des Unternehmens über die erforderlichen Entschlüsselungsschlüssel durch einen „stark eingeschränkten Satz freigegebener Ordner“ verfügten. Der Hacker umging jedoch die Sicherheitsvorkehrungen des Unternehmens, indem er einem der DevOps-Ingenieure zu Hause Malware zur Verfügung stellte.
„Dies wurde erreicht, indem der Heimcomputer des DevOps-Ingenieurs angegriffen und ein anfälliges Mediensoftwarepaket eines Drittanbieters ausgenutzt wurde, das die Remote-Code-Ausführung ermöglichte und es dem Angreifer ermöglichte, Keylogger-Malware zu implantieren“, sagte LastPass.
Die Malware zeichnete dann die Tastenanschläge auf dem Computer des Technikers auf, sodass der Hacker das Master-Passwort für den Passwort-Tresor des Mitarbeiters bei LastPass erbeuten konnte. Dieselbe Malware scheint dem Hacker geholfen zu haben, die Multi-Faktor-Authentifizierung für das Konto zu umgehen, das die Entschlüsselungsschlüssel enthielt, die für den Zugriff auf das Cloud-Backup-System von LastPass erforderlich waren.
LastPass nannte das „anfällige Mediensoftwarepaket eines Drittanbieters“ nicht. Aber nach(Öffnet in einem neuen Fenster) Laut Ars Technica war die anfällige Software Plex, die Verbrauchern helfen kann, einen Medienserver aufzubauen, um Videos zu Hause zu streamen. (Im August erlitt Plex einen eigenen Verstoß, der eine Datenbank mit Benutzerkennwortinformationen betraf.)
Der Hacker war auch in der Lage, den DevOps-Ingenieur bei LastPass anzugreifen, nachdem er bereits im August einen früheren Verstoß gegen das Unternehmen durchgeführt hatte, an dem seine Quellcode-Repositories beteiligt waren. Während des ersten Angriffs entführte der Hacker den Laptop eines LastPass-Softwareentwicklers, obwohl unklar bleibt, wie dies geschah. Dennoch zeigen die forensischen Beweise, dass der Täter das Antivirenprogramm auf dem Computer des Softwareentwicklers heruntergefahren hat, um verborgen zu bleiben, sagte LastPass im Update vom Montag.
Der neue Bericht von LastPass weist darauf hin, dass der Hacker über einige ernsthafte Computerinfiltrationsfähigkeiten verfügte. Darüber hinaus zeigt der Bericht, wie der Heimcomputer eines Mitarbeiters ausgenutzt werden kann, um in ein großes Unternehmen einzudringen.
Karim Toubba, CEO von LastPass, merkt auch an, dass viele Kunden frustriert waren, weil das Unternehmen „während dieser Veranstaltung nicht unmittelbarer, klarer und umfassender kommunizieren konnte“. Das Unternehmen gab die Sicherheitslücke erstmals am 22. Dezember bekannt, fast zwei Monate nachdem der Hacker die internen Systeme von LastPass verlassen hatte.
Von unseren Redakteuren empfohlen
„Ich akzeptiere die Kritik und übernehme die volle Verantwortung. Wir haben viel gelernt und sind bestrebt, in Zukunft effektiver zu kommunizieren. Das heutige Update ist eine Demonstration dieses Engagements“, schrieb er in a Post(Öffnet in einem neuen Fenster) zu Kunden. Das Unternehmen hat nach den Verstößen auch zahlreiche Änderungen vorgenommen, darunter die Installation neuer Sicherheitstechnologien. Trotz des Versprechens haben viele Benutzer in den sozialen Medien berichtet, dass sie zu anderen Passwort-Managern gewechselt sind.
Weitere Informationen finden Sie unter Was wirklich bei einer Datenpanne passiert (und was Sie dagegen tun können) und So wechseln Sie zu einem neuen Passwort-Manager.
AKTUALISIEREN: In einer Erklärung teilte Plex PCMag mit, dass es keine Informationen von LastPass über den Hacking-Vorfall erhalten habe, der Berichten zufolge eine Schwachstelle in der Streaming-Software von Plex beinhaltete.
„Uns sind keine ungepatchten Schwachstellen bekannt, und wie immer laden wir die Leute ein, uns Probleme mitzuteilen“, sagte Plex. „Angesichts der jüngsten Artikel über den LastPass-Vorfall haben wir uns sicherheitshalber an LastPass gewandt, obwohl uns keine ungepatchten Sicherheitslücken bekannt sind.“
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.