LastPass: Hacker erbeuten auch Passwort-Tresore von Kunden

LastPass (Grafik: LastPass)

Die Tresore enthalten auch nicht verschlüsselte Daten. Die liegen jedoch in einem proprietären Format vor. LastPass betont, dass alle Kennwörter durch eine 256-Bit-AES-Verschlüsselung gesichert sind.

LastPass hat weitere Details zu dem Anfang Dezember bekannt gewordenen Sicherheitsvorfall veröffentlicht. Die Ermittlungen ergaben demnach, dass die Angreifer auch Zugang zu Backups der Produktionsumgebung von LastPass hatten. Dabei fielen ihnen verschlüsselte Passwort-Tresore von Kunden in die Hände.

Generell betreibt LastPass nach eigenen Angaben alle Dienste seiner Produkte auf eigenen Servern. Cloud-Server würden jedoch für die Speicherung von Backups genutzt – oder um regionale Bestimmungen zur Vorhaltung von Kundendaten in bestimmten Ländern zu erfüllen.

Die bei dem Sicherheitsvorfall von Dezember kompromittierten Backups enthielten außerdem Nutzernamen, Rechnungsanschriften, E-Mail-Adressen, Telefonnummern und die für den Zugriff auf LastPass-Dienste genutzten IP-Adressen von Kunden. LastPass räumte zudem ein, dass die Passwort-Tresore von Kunden auch unverschlüsselte Informationen speichern, jedoch in einem proprietären Dateiformat.

Nicht verschlüsselt seien beispielsweise die URLs von Websites, zu denen Kennwörter im Tresor hinterlegt wurden, so LastPass-CEO Karim Toubba. Nutzernamen, Passwörter, Notizen sowie jegliche Formulardaten seien jedoch mit einer 256-Bit-AES-Verschlüsselung geschützt. Sie könnten ausschließlich “mit einem einmaligen Verschlüsselungsschlüssel, der vom Master-Passwort des Nutzers abgeleitet wird, entschlüsselt werden”, so Toubba weiter. “Zur Erinnerung, das Master-Passwort ist LastPass niemals bekannt und wird nicht von LastPass gespeichert.”

Im Dezember hatte LastPass lediglich mitgeteilt, dass Daten kompromittiert wurden, die auf einem gemeinsam mit GoTo genutzten Cloud-Speicherdienst abgelegt waren. Zugang zu dem Speicher erhielten die Cyberkriminellen mithilfe von Informationen, die bei einem Sicherheitsvorfall im August erbeutet wurden. Dieser frühere Einbruch betraf eine Entwicklungsumgebung von LastPass.