Hinweise zu Cybersecurity-Bedrohungen: Update zum Security-Vorfall bei LastPass

LastPass hat ein Update zu dem Vorfall im August gegeben, bei dem ein unberechtigter Zugriff auf seine Cloud-Speicher erfolgte. Der Vorfall betraf Speicher, die Produktionsdaten und bestimmte Metadaten von LastPass-Abonnenten enthalten. LastPass empfiehlt Unternehmen, ihre Passwörter zu überprüfen und zu aktualisieren, ihre Security-Maßnahmen zu überprüfen und auf Social-Engineering-Angriffe auf ihre Konten zu achten.

Welcher Art ist die Bedrohung?

LastPass hat den Security-Vorfall erstmals im August 2022 in einem Blog bekannt gegeben. In diesem aktuellen Update wurde festgestellt, dass der Quellcode und andere spezifische technische Informationen aus der Produktionsumgebung von Lastpass extrahiert wurden. Diese Informationen wurden verwendet, um einem Mitarbeiter die notwendigen Passwörter zu entlocken, mit denen er die Speichermedien seiner Cloud-basierten Umgebung entsperren konnte. Dies könnte dazu führen, dass Bedrohungsakteure Schwachstellen in der Software des Kunden entdecken, die ausgenutzt werden könnten, oder einen Cyberangriff auf Kunden durchführen. Da sich die Produktionsumgebung von LastPass vor Ort befindet und unabhängig von dem Ort ist, an dem der ursprüngliche Verstoß stattgefunden hat, kam es nicht zu einem Ausfall seiner Services.

Warum sollte man aufmerksam sein?

LastPass ist ein bekannter Passwort-Manager, mit dem Kunden Zugangsdaten sicher speichern können. Das Programm wird verwendet, um sensible Daten zu schützen und einen einfachen Zugang zu Services für das automatische Ausfüllen von Zugangsdaten zu ermöglichen. Die Untersuchung dieses Security-Vorfalls vom August dauert noch an. Das neueste Update enthält zusätzliche Angaben darüber, was von den Bedrohungsakteuren gestohlen wurde, Empfehlungen zu Abhilfemaßnahmen und weitere von LastPass ergriffene Maßnahmen.

Wie hoch ist Risiko einer Exposition?

LastPass gab bekannt, dass die von den Bedrohungsakteuren kopierten Daten grundlegende Metadaten ihrer Kunden enthielten, einschließlich Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen derjenigen, die Zugriff auf Services von LastPass haben.

Darüber hinaus wurden auch die Daten des Kundentresors kopiert, die sowohl verschlüsselte als auch unverschlüsselte Daten und teilweise Kreditkartendaten enthielten. Zu den verschlüsselten Daten gehörten Website-Zugangsdaten, sichere Notizen und Formulardaten. Diese Daten blieben verschlüsselt, da auf den Verschlüsselungscode ausschließlich über das Master-Passwort des Benutzers zugegriffen werden kann, mit der proprietären Architektur von LastPass (Zero Knowledge). Der Prozess der Verschlüsselung/Entschlüsselung kann nur lokal auf dem LastPass-Client für das Konto des Benutzers durchgeführt werden. Die unverschlüsselten Inhalte enthielten Website-URLs und teilweise Kreditkarteninformationen. LastPass speichert oder archiviert keine vollständigen Kreditkarteninformationen.

Alle Kunden von LastPass sind potenziell gefährdet. Da Bedrohungsakteure Informationen über ihre Kunden haben, öffnet dies die Tür für Brute-Force- und Social-Engineering-Angriffe. Ein erfolgreicher Angriff könnte dazu führen, dass die gespeicherten Anmeldedaten der Kunden gestohlen werden. LastPass untersucht diesen Vorfall weiter und hat bereits Schritte unternommen, um das Problem zu mindern. Es ist geplant, die Entwicklungsumgebung des Unternehmens komplett neu aufzubauen und zu sichern. Dazu gehören das Abschalten von Rechnern, geänderte Prozesse und aktualisierte Authentifizierungsmechanismen. LastPass hat auch die Security seines Produkts verbessert, indem zusätzliche Protokollierungs- und Warnfunktionen hinzugefügt wurden, Zugangsdaten und Zertifizierungen aktualisiert wurden und Methoden zum Knacken von Passwörtern getestet wurden. Strafverfolgungsbehörden und andere Behörden wurden über den Vorfall informiert und LastPass analysiert weiterhin die betroffenen Daten in seiner Cloud-Umgebung.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen dieses Security-Vorfalls bei LastPass zu begrenzen:

• Überprüfen Sie die von LastPass festgelegten Passwortrichtlinien (https://support.lastpass.com/help/what-is-the-lastpass-master-password-lp070014)
• Stellen Sie sicher, dass die Federated Login Services von LastPass in Ihrem Unternehmen implementiert sind (https://support.lastpass.com/download/lastpass-technical-whitepaper)
• Führen Sie Kampagnen und Schulungen zu Pishing in Ihrer Organisation durch, um das Bewusstsein für Social-Engineering-Angriffe zu schaffen
• Prüfen und inventarisieren Sie die Benutzer-/Admin-Konten und deren Zugriff auf LastPass
• Überprüfen Sie die Zero Knowledge Architecture von LastPass (https://www.lastpass.com/security/zero-knowledge-security)
• Informieren Sie sich über die neuesten Updates zu dem Security-Vorfall bei LastPass (https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/)

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://support.lastpass.com/help/what-is-the-lastpass-master-password-lp070014
• https://support.lastpass.com/download/lastpass-technical-whitepaper
• https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
• https://support.lastpass.com/help/how-do-i-change-my-password-iterations-for-lastpass
• https://blog.lastpass.com/2021/11/how-to-protect-yourself-from-social-engineering-attacks/
• https://www.lastpass.com/security/zero-knowledge-security

Dieser Artikel wurde ursprünglich auf SmarterMSP.com veröffentlicht.