LastPass nennt weitere Details zu Hackerangriff im August
Die Cyberkriminellen verweilen vier Tage in der Entwicklungsumgebung von LastPass. Diese vier Tage benötigt LastPass, um die Hacker zu entdecken und wieder auszusperren.
LastPass hat nach eigenen Angaben die Untersuchung des im August gemeldeten Hackerangriffs abgeschlossen. Der Anbieter der gleichnamigen Passwortverwaltung bestätigt, dass der Einbruch auf die LastPass-Entwicklungsumgebung beschränkt war. Zudem räumt das Unternehmen ein, dass die Hacker insgesamt vier Tage lang Zugriff auf das System hatten.
Unterstützt wurde LastPass bei seiner Untersuchung vom Sicherheitsanbieter Mandiant. Demnach wurde während der fraglichen vier Tage der Einbruch entdeckt, eingedämmt und der Angriff beendet. “Es gibt keine Hinweise auf Aktivitäten von Bedrohungsakteuren, die über den festgelegten Zeitrahmen hinausgehen. Wir können auch bestätigen, dass es keine Beweise dafür gibt, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltet”, schreibt LastPass-CEO Karim Toubba in einem Blogbeitrag.
In das System gelangten die Cyberkriminellen offenbar über den kompromittierten Rechner eines Entwicklers. Wie es den Angreifern gelang, dieses System zu kompromittieren, konnte indes nicht geklärt werden. Allerdings waren die Hacker auch in der Lage, die Zwei-Faktor-Authentifizierung zu kontrollieren, um sich als der gehackte LastPass-Entwickler auszugeben.
LastPass prüft auch Integrität seines Quellcodes
Weitere Systeme hätten die Angreifer nicht infiltrieren können, da diese so ausgelegt seien, dass Zugriffe auf Kundendaten und verschlüsselte Passworttresore unmöglich seien, ergänzte Toubba. Zum einen sei die Entwicklungsumgebung physisch von anderen Systemen wie der Produktionsumgebung getrennt. Zum anderen enthalte die Entwicklungsumgebung keine Kundendaten. Darüber hinaus habe LastPass generell keine Kenntnis von Masterpasswörtern für die Tresore von Kunden.
Um die Codeintegrität zu gewährleisten, seien auch der Quellcode und die Produktions-Builds analysiert worden. “Wir sehen keine Hinweise für Code-Poisoning oder auf Versuche, bösartigen Code einzuschleusen. Die Entwickler haben nicht die Möglichkeit, Quellcode aus der Entwicklungsumgebung in die Produktionsumgebung zu übertragen”, so Toubba weiter.
“Des Weiteren haben wir verbesserte Sicherheitskontrollen eingeführt, einschließlich zusätzlicher Endpunktsicherheitskontrollen und Überwachung. Wir haben auch zusätzliche Bedrohungsdaten sowie verbesserte Erkennungs- und Präventionstechnologien sowohl in unseren Entwicklungs- als auch in unseren Produktionsumgebungen implementiert”, heißt es in dem Blogbeitrag.
Zum Umfang des gestohlenen Quellcodes machte LastPass erneut keine Angaben. Es ist auch weiterhin nicht bekannt, welche Programmteile des Passwort-Managers betroffen sind.