LastPass wurde bereits zum zweiten Mal in diesem Jahr gehackt. Betroffen sind laut Firmenangaben auch Kundeninformationen.
Schlechte Zeiten für LastPass oder Dummheit? Nach einem zurückliegenden Hack im August 2022 muss die Firma einen weiteren Hack eingestehen. Damals wie heute – und damit direkt Erleichterung – waren keine Passwörter betroffen.
LastPass-Hack, die Zweite: Welche Daten sind betroffen?
LastPass teilte mit, dass sie zusammen mit den Strafverfolgungsbehörden sowie der IT-Sicherheitsfirma Mandiant an dem Fall arbeiten. Die Passwörter der Kunden sind nicht betroffen, da LastPass auf einer Zero-Knowledge-Architektur aufbaut. Somit ist zumindest soweit Entwarnung angesagt.
LastPass-CEO Karim Toubba fügt allerdings hinzu, dass das Ausmaß des Hacks bisher noch nicht vollständig geklärt sind. Jedoch ist davon auszugehen, dass die Hacker Zugriff auf „bestimmte Kundeninformationen“ bekamen.
An der Verfügbarkeit von LastPass solle sich nichts ändern. Die Dienste sind weiterhin online und benutzbar. Toubba empfiehlt jedoch den Nutzern, sich an die best practices von Setup und Konfiguration von LastPass zu halten.
Wie sind die Angreifer in die Systeme gekommen?
Laut Karim Toubba drangen die Hacker über einen Clouddienst ein, den sich LastPass sowie ihre Schwesterfirma GoTo teilen. Pikant an der Sache ist, dass Informationen aus dem letzten Hack im August 2022 genutzt wurden, um erneut in die Systeme einzusteigen. Welche das genau waren, ließ CEO Toubba allerdings offen.
Beim Hack Ende August 2022 konnten die Angreifer in die internen Systeme von LastPass eindringen und Teile des Quellcodes stehlen. Dies erklärt sich daraus, dass sie Zugriff auf die Entwicklungsumgebung hatten. Erst nach vier Tagen wurde der Angriff bemerkt.
Hinweise für weitere Zwischenfälle habe es in dieser Zeit keine gegeben. Auch betonte LastPass-CEO Karim Toubba, dass die Entwicklungsumgebung physisch getrennt von den Benutzerdaten ist. Es bestehe also keine Möglichkeit, von der Entwicklungsumgebung auf die Benutzerdaten zuzugreifen. Zudem habe die Firma keinen Zugriff auf die Masterpasswörter der Kunden.
LastPass hat keinen Zugriff auf Tresore der Benutzer
Des Weiteren prüfte man, ob der oder die Angreifer eventuell Schadcode in den produktiven Code eingeschleust hatte, was sich aber nicht bestätigt hatte.
Karim Toubba fügte allerdings hinzu, dass Entwickler bei LastPass nicht die Möglichkeit hätten, eigenständig Code in die Produktivumgebung zu hieven. Dafür sei das Build-Release-Team zuständig – und das auch nur nach vorheriger Prüfung.
Nach dem Hack im August kündigte Toubba verschärfte Sicherheitsmaßnahmen an. Offenbar hat’s nicht gereicht.