Weiterer Sicherheitsvorfall bei LastPass betrifft auch Kundendaten
Cyberkriminelle kompromittieren einen Cloud-Speicher von LastPass. Sie nutzen für ihren Angriff im August 2022 gestohlene Informationen. Zur Art der ausgespähten Kundendaten hält sich LastPass derzeit bedeckt.
LastPass-CEO Karim Toubba hat einen weiteren Sicherheitsvorfall in seinem Unternehmen eingeräumt. Betroffen ist ein Coud-Speicherdienst eines Drittanbieters, den LastPass gemeinsam mit GoTo nutzt. Dabei wurden nach Angaben des Unternehmens auch einige Daten von Kunden kompromittiert.
Unbefugte sollen demnach Informationen benutzt haben, die beim Einbruch in die LastPass-Systeme im August 2022 erbeutet wurden, um sich Zugang zu dem Cloud-Speicher zu verschaffen. Welche Kundendaten kompromittiert wurden und wie viele Nutzer betroffen sind, ließ Toubba offen. In einem Blogeintrag ist lediglich von Zugriffen auf “bestimmte Elemente der Informationen unserer Kunden” die Rede.
Wie schon bei dem Vorfall in August betonte LastPass, dass für Passwörter von Kunden keine Gefahr bestand. Die Produktionsumbegung sei physisch von allen anderen Systemen getrennt. Außerdem habe LastPass generell keine Kenntnis von Masterpasswörtern für die Tresore seiner Kunden.
Wie schon im August wurde der Sicherheitsanbieter Mandiant mit der Untersuchung des Vorfalls beauftragt. Toubba erklärte zudem, dass auch die Strafverfolgungsbehörden eingeschaltet wurden.
“Wir arbeiten mit Hochdruck daran, den Umfang des Vorfalls zu ermitteln und herauszufinden, auf welche spezifischen Informationen zugegriffen wurde. In der Zwischenzeit können wir bestätigen, dass LastPass-Produkte und -Dienste weiterhin voll funktionsfähig sind. Wie immer empfehlen wir Ihnen, unsere Best Practices zur Einrichtung und Konfiguration von LastPass zu befolgen”, so Toubba weiter.
Der Manager kündigte auch an, die Sicherheit der Systeme durch zusätzliche Maßnahmen, unter anderem zur Überwachung der Infrastruktur, zu stärken. Ziel sei es, weitere Aktivitäten von Bedrohungsakteuren zu verhindern.
Im August hatten Unbekannte eine Entwicklungsumgebung von LastPass gehackt und über einen Zeitraum von vier Tagen Zugriff auf das System zugegriffen. Den Cyberkriminellen fiel dabei Quellcode in die Hände. Zum Umgang des Datenverlusts sowie betroffene Programmteile des Passwort-Managers machte LastPass bisher keine Angaben.
