Bei einem Hack auf LastPass im August 2022 konnte der Angreifer weder Kundendaten noch Passwort-Tresore abgreifen, versichert der CEO.
Nach einem Hack auf den beliebten Passwort-Manager Online-Service LastPass im August bestätigt dessen CEO nun, dass der Angreifer weder Kundendaten noch verschlüsselte Passwort-Tresore abgreifen konnte. Das Sicherheitsteam sieht dennoch Optimierungspotenzial und arbeitet derzeit am Sicherheitskonzept des Unternehmens. Die Auswirkungen des Vorfalls hätten für die über 33 Millionen Anwender durchaus verheerend sein können.
LastPass CEO gibt ein Statusupdate zum Sicherheitsvorfall im August
Am 25. August 2022 informierte der LastPass CEO Karim Toubba über einen Sicherheitsvorfall, bei dem ein Hacker Quellcodes und technische Informationen von dem beliebten Passwort-Manager erbeuten konnte. Nach weiteren internen Untersuchungen klärte Toubba nun in einem Statusupdate über deren Ergebnisse auf, „um für Transparenz zu sorgen.„
In Zusammenarbeit mit dem Sicherheitsexperten Mandiant konnte das Unternehmen laut eigener Aussage keinerlei Beweise dafür finden, dass der Angreifer innerhalb der vier Tage, in denen er Zugriff auf die LastPass-Infrastruktur hatte, Kundendaten oder verschlüsselte Passwort-Tresore abgreifen konnte. Stattdessen habe er lediglich über ein kompromittiertes Entwickler-Konto Zugang zur Entwicklungsumgebung erlangen können.
„Obwohl der Bedrohungsakteur in der Lage war, auf die Entwicklungsumgebung zuzugreifen, verhinderten unser Systemdesign und unsere Kontrollen, dass der Bedrohungsakteur auf Kundendaten oder verschlüsselte Passwort-Tresore zugreifen konnte.“
Karim Toubba, LastPass CEO
Zugriff auf Passwort-Tresore aufgrund der Sicherheitsarchitektur ausgeschlossen
Eine physische Trennung der Entwicklungsumgebung von der Produktionsumgebung habe dazu beigetragen, dass ein Zugriff auf Kundendaten auszuschließen ist. Außerdem versicherte das Unternehmen es habe „keinen Zugang zu den Master-Passwörtern der Tresore“ seiner Kunden. Und „ohne das Master-Passwort ist es für niemanden außer dem Besitzer eines Tresors möglich, die Daten des Tresors zu entschlüsseln„.
Auch eine Manipulation des Quellcodes konnte das Sicherheitsteam von LastPass mit Gewissheit ausschließen.
„Die Entwickler haben nicht die Möglichkeit, Quellcode aus der Entwicklungsumgebung in die Produktionsumgebung zu übertragen. Diese Möglichkeit ist auf ein separates Build-Release-Team beschränkt und kann nur nach Abschluss strenger Codeüberprüfungs-, Test- und Validierungsprozesse erfolgen.“
Karim Toubba, LastPass CEO
Sicherheitsteam optimiert das Sicherheitskonzept von LastPass
Dennoch sah das Team offenbar weiteres Optimierungspotenzial im eigenen Sicherheitskonzept und entschied sich daher für eine Zusammenarbeit mit einem führenden Unternehmen für Cybersicherheit, um sowohl die Sicherheit des Quellcodes sowie der Entwicklungs- und Produktionsumgebungen weiter zu verbessern.
„Wir sind uns bewusst, dass Sicherheitsvorfälle jeglicher Art beunruhigend sind, aber wir möchten Ihnen versichern, dass Ihre persönlichen Daten und Passwörter bei uns sicher sind„, beruhigt Toubba LastPass-Anwender.
Zugriff auf LastPass-Tresore hätte verheerende Auswirkungen haben können
Wie LastPass auf der eigenen Webseite verkündet, verfügt der Dienst mittlerweile über mehr als 33 Millionen Anwender. Über 100.000 Unternehmen vertrauen auf den Service, mit dem sich Passwörter sicher in einer Cloud ablegen lassen sollen. Der Zugriff eines Hackers auf die Passwort-Tresore der Kunden hätte durchaus verheerende Auswirkungen für LastPass haben können. Gerade wenn man bedenkt, dass dort Passwörter für zahlreiche andere Online-Dienste liegen. Eine wahre Goldgrube für Cyberkriminelle.
Wer generell misstrauisch gegenüber Online-Diensten ist und die Sicherheit seiner Passwörter lieber selber in die Hand nimmt, für den sind Anwendungen wie KeePass mit einer lokalen Speicherung der Passwortdatenbank sicherlich eine ansprechendere Alternative.