Daten geklaut – das könnte für einige Lastpass-Kunden böse enden

23. Dezember 2022, 10:50
  • security
  • cyberangriff
  • breach
  • Lastpass
image
Foto: Jason Pofahl / Unsplash

Zuerst hiess es beim Passwortmanager, ein Hack habe keine grösseren Auswirkungen. Doch jetzt meldet das Unternehmen: Auch Passwörter seien abgegriffen worden.

Im August gab Lastpass bekannt, dass bei einem Cyberangriff Quellcode erbeutet worden ist. Gehackt wurde die Entwicklerumgebung. Passwörter von Kunden seien aber nicht davon betroffen, beruhigte das Unternehmen damals. Im November folgte dann die Meldung eines zweiten Sicherheitsvorfalls. Diesmal sei ein Cloud-Speicherdienst gehackt worden. Produkte und -Dienste seien aber weiterhin voll funktionsfähig, hiess es danach: "Die Passwörter unserer Kunden bleiben dank der Zero-Knowledge-Architektur von Lastpass sicher verschlüsselt."
Offenbar hängen die beiden Angriffe zusammen, wie CEO Karim Toubba jetzt in einem Blogbeitrag schreibt. Für das Eindringen in die Cloud-basierte Speicherumgebung im November seien Informationen aus dem ersten Angriff genutzt worden. Während im August noch nicht auf Kundendaten zugegriffen wurde, ist dies 3 Monate später doch noch passiert.

Eine hochsichere Verschlüsselung – eigentlich

"Der Angreifer war auch in der Lage, eine Sicherungskopie der Kundentresordaten aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen enthält und Passwörter, sichere Notizen und Formulardaten", schreibt Toubba. Offenbar gelang es den Angreifern auch, Vault-Daten zu kopieren. Diese verwendet Lastpass, damit Kunden ihre Passwörter aufzeichnen können.
Auch hier beruhigt das Unternehmen zunächst: Diese Passwörter sind mit "256-Bit-AES verschlüsselt und können nur mit einem eindeutigen Key entschlüsselt werden, der aus dem Master-Passwort jedes Benutzers abgeleitet wird". Laut Toubba ist das jeweilige Master-Passwort Lastpass nie bekannt, es werde auch nicht auf Lastpass-Systemen gespeichert. Dank der starken Verschlüsselung würde es "Millionen von Jahren dauern, ein Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten", so Lastpass.

"Ein Debakel für Lastpass"

Doch es gibt ein "Aber". Falls Kunden zum Beispiel ein äusserst schwaches Master-Passwort verwenden oder dieses bei einem anderen Datenbank-Breach schon einmal in Umlauf gelangt ist. Bedrohungsakteure könnten versuchen, mit Brute-Force-Angriffen das Master-Passwort herauszufinden und anschliessend die Kopien der entwendeten Tresordaten zu entschlüsseln.
33 Millionen Menschen und 100'000 Unternehmen weltweit verwenden Lastpass. Mit der sehr verspäteten Information über die tatsächliche Tragweite des Angriffs könnte die Firma einigen Kunden unruhige Feiertage bescheren. Kommentare in der Security-Welt fallen denn auch harsch aus. Von einem "Debakel für Lastpass" spricht der deutsche Blogger Günter Born. Ein 'Verge'-Journalist schreibt: "Wenn ich ein Lastpass-Benutzer wäre, würde ich an dieser Stelle ernsthaft darüber nachdenken, das Unternehmen zu verlassen."

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023