Der führende Passwort-Manager LastPass und sein Tochterunternehmen, der Anbieter von Kommunikationssoftware GoTo, haben bekannt gegeben, dass sie nach einem Cyberangriff im August 2022 einen Verstoß gegen ihre Cloud-Speicherinfrastruktur erlitten haben.
In einem (n aktualisieren (öffnet in neuem Tab) In Bezug auf den laufenden Vorfall gibt das Unternehmen zu, dass es kürzlich „ungewöhnliche Aktivitäten“ in einem Cloud-Speicherdienst eines Drittanbieters festgestellt hat, der sowohl von LastPass als auch von GoTo verwendet wird.
Die Ergebnisse der Untersuchung von Lastpass, die von Karim Toubba, CEO von LastPass, unter Einbeziehung von Sicherheitsexperten von Mandiant unterzeichnet wurden, zeigten, dass jemand die bei dem Vorfall durchgesickerten Zugangsdaten verwendet hat, um sich Zugang zu „bestimmten Elementen“ der Kundendaten von LastPass zu verschaffen
Passwörter sind sicher
Toubba ging nicht weiter auf die Art der Daten ein, auf die zugegriffen wurde, aber er sagte, dass die Passwörter der Benutzer unberührt blieben.
„Die Passwörter unserer Kunden bleiben dank der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt“, sagte er.
„Während unsere Ermittlungen andauern, haben wir einen Zustand der Eindämmung erreicht, zusätzliche verstärkte Sicherheitsmaßnahmen implementiert und sehen keine weiteren Beweise für unbefugte Aktivitäten.“
Als einer der beliebtesten Passwort-Manager und -Generatoren für Unternehmen auf dem Markt, auf den sich täglich über 100.000 Unternehmen verlassen, sind LastPass Datenverletzungen durch Cyberkriminelle nicht fremd.
TechRadar Pro hat zuvor berichtet, dass das Unternehmen Ende September 2022 bestätigte, dass der Bedrohungsakteur, der für die ursprüngliche Verletzung im August verantwortlich war, tagelang in seinem Netzwerk lauerte, bevor er verdrängt wurde.
Allerdings gelang es dem Angreifer damals nicht, auf interne Kundendaten oder verschlüsselte Passworttresore zuzugreifen. LastPass behauptet, dass die neueste Entwicklung daran nichts geändert hat Zero-Knowledge-Architektur (öffnet in neuem Tab).
„Obwohl der Angreifer auf die Entwicklungsumgebung zugreifen konnte, verhinderten unser Systemdesign und unsere Kontrollen, dass der Angreifer auf Kundendaten oder verschlüsselte Passwort-Tresore zugreifen konnte“, sagte Toubba damals.
Der Angreifer war offenbar in der Lage, über einen kompromittierten Endpunkt eines Entwicklers auf die Entwicklungsumgebung des Unternehmens zuzugreifen.
Die Untersuchung und Forensik haben es nicht geschafft, die genaue Methode zu bestimmen, die für die anfängliche Endpunktkompromittierung verwendet wurde. Toubba sagte, die Angreifer hätten ihren dauerhaften Zugriff genutzt, um sich als Entwickler auszugeben, nachdem sie sich erfolgreich mit der Multi-Faktor-Authentifizierung authentifiziert hatten.