LastPass hat hat ein Update gepostet über seine Untersuchung bezüglich einiger Sicherheitsvorfälle, die letztes Jahr stattfanden, und sie klingen ernster als bisher angenommen. Anscheinend waren auch die schlechten Schauspieler an diesen Vorfällen beteiligt infiltriert den Heimcomputer eines DevOps-Ingenieurs eines Unternehmens, indem er ein Mediensoftwarepaket eines Drittanbieters ausnutzt. Sie implantierten einen Keylogger in die Software, mit der sie dann das Master-Passwort des Technikers für ein Konto mit Zugriff auf den LastPass-Unternehmenstresor erfassten. Nachdem sie eingestiegen waren, exportierten sie die Einträge und freigegebenen Ordner des Tresors, die Entschlüsselungsschlüssel enthielten, die zum Entsperren von Cloud-basierten Amazon S3-Buckets mit Kunden-Tresor-Backups benötigt wurden.
Dieses neueste Update der LastPass-Untersuchung gibt uns ein klareres Bild davon, wie die beiden Sicherheitsverletzungen im letzten Jahr miteinander verbunden waren. Wenn Sie sich erinnern, hat LastPass im August 2022 enthüllt, dass eine „unbefugte Partei“ Zugang zu seinem System erhalten hat. Während der erste Vorfall am 12. August endete, sagte das Unternehmen in seiner neuen Ankündigung, dass die Bedrohungsakteure „vom 12. August 2022 bis Oktober aktiv an einer neuen Reihe von Aufklärungs-, Aufzählungs- und Exfiltrationsaktivitäten beteiligt waren, die auf die Cloud-Speicherumgebung ausgerichtet waren 26., 2022.”
Als das Unternehmen im Dezember die zweite Sicherheitsverletzung ankündigte, hieß es, die Angreifer hätten Informationen aus dem ersten Vorfall genutzt, um in seinen Cloud-Dienst einzudringen. Es gab auch zu, dass die Hacker sich mit einer Reihe sensibler Informationen davongemacht haben, einschließlich der Amazon S3-Buckets. Um auf die in diesen Buckets gespeicherten Daten zugreifen zu können, benötigten die Hacker Entschlüsselungsschlüssel, die in „stark eingeschränkten freigegebenen Ordnern in einem Passwort-Manager-Tresor von LastPass“ gespeichert waren. Aus diesem Grund haben die Angreifer einen der vier DevOps-Ingenieure ins Visier genommen, der Zugriff auf die Schlüssel hatte, die zum Entsperren des Cloud-Speichers des Unternehmens erforderlich waren.
In einem Unterstützungsdokument (PDF) das Unternehmen veröffentlicht (via Piepender Computer) wurden die Daten detailliert beschrieben, auf die die Bedrohungsakteure während der beiden Vorfälle zugegriffen haben. Anscheinend enthielten die Cloud-basierten Backups, auf die während des zweiten Verstoßes zugegriffen wurde, „API-Geheimnisse, Integrationsgeheimnisse von Drittanbietern, Kundenmetadaten und Backups aller Kundentresordaten“. Das Unternehmen bestand darauf, dass alle sensiblen Kunden-Tresordaten mit Ausnahme einiger Ausnahmen „nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden können, der aus dem Master-Passwort jedes Benutzers abgeleitet wird“. Das Unternehmen fügte hinzu, dass es die Master-Passwörter der Benutzer nicht speichert. LastPass erläuterte auch die Schritte, die es unternommen hat, um seine Verteidigung in Zukunft zu stärken, einschließlich der Überarbeitung seiner Bedrohungserkennung und der Bereitstellung einer „Multi-Millionen-Dollar-Zuweisung zur Verbesserung“. [its] Investitionen in die Sicherheit von Menschen, Prozessen und Technologien.”
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung korrekt.