LastPass hat nach eigenen Angaben die Untersuchung des im August gemeldeten Hackerangriffs abgeschlossen. Der Anbieter der gleichnamigen Passwortverwaltung bestätigt, dass der Einbruch auf die LastPass-Entwicklungsumgebung beschränkt war. Zudem räumt das Unternehmen ein, dass die Hacker insgesamt vier Tage lang Zugriff auf das System hatten.
Unterstützt wurde LastPass bei seiner Untersuchung vom Sicherheitsanbieter Mandiant. Demnach wurde während der fraglichen vier Tage der Einbruch entdeckt, eingedämmt und der Angriff beendet. “Es gibt keine Hinweise auf Aktivitäten von Bedrohungsakteuren, die über den festgelegten Zeitrahmen hinausgehen. Wir können auch bestätigen, dass es keine Beweise dafür gibt, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltet”, schreibt LastPass-CEO Karim Toubba in einem Blogbeitrag.
In das System gelangten die Cyberkriminellen offenbar über den kompromittierten Rechner eines Entwicklers. Wie es den Angreifern gelang, dieses System zu kompromittieren, konnte indes nicht geklärt werden. Allerdings waren die Hacker auch in der Lage, die Zwei-Faktor-Authentifizierung zu kontrollieren, um sich als der gehackte LastPass-Entwickler auszugeben.
LastPass prüft auch Integrität seines Quellcodes
Weitere Systeme hätten die Angreifer nicht infiltrieren können, da diese so ausgelegt seien, dass Zugriffe auf Kundendaten und verschlüsselte Passworttresore unmöglich seien, ergänzte Toubba. Zum einen sei die Entwicklungsumgebung physisch von anderen Systemen wie der Produktionsumgebung getrennt. Zum anderen enthalte die Entwicklungsumgebung keine Kundendaten. Darüber hinaus habe LastPass generell keine Kenntnis von Masterpasswörtern für die Tresore von Kunden.
Um die Codeintegrität zu gewährleisten, seien auch der Quellcode und die Produktions-Builds analysiert worden. “Wir sehen keine Hinweise für Code-Poisoning oder auf Versuche, bösartigen Code einzuschleusen. Die Entwickler haben nicht die Möglichkeit, Quellcode aus der Entwicklungsumgebung in die Produktionsumgebung zu übertragen”, so Toubba weiter.
“Des Weiteren haben wir verbesserte Sicherheitskontrollen eingeführt, einschließlich zusätzlicher Endpunktsicherheitskontrollen und Überwachung. Wir haben auch zusätzliche Bedrohungsdaten sowie verbesserte Erkennungs- und Präventionstechnologien sowohl in unseren Entwicklungs- als auch in unseren Produktionsumgebungen implementiert”, heißt es in dem Blogbeitrag.
Zum Umfang des gestohlenen Quellcodes machte LastPass erneut keine Angaben. Es ist auch weiterhin nicht bekannt, welche Programmteile des Passwort-Managers betroffen sind.
Laut ESET-Forschern hat sich die Gruppe RansomHub innerhalb kürzester Zeit zur dominierenden Kraft unter den…
Damit hängt die hiesige Wirtschaft beim Einsatz der Technologie zwar nicht zurück, ist jedoch auch…
Bitdefender-Labs-Analyse der ersten digitalen Erpressung von RedCurl zeigt, dass Angreifer lange unentdeckt bleiben wollen und…
Backup-Systeme haben in der Vergangenheit eine Art Versicherung gegen Angriffe geboten, doch Hacker versuchen nun,…
Forschende des Karlsruher Institut für Technologie (KIT) entwickeln erstes nationales Vorhersagemodell für kleine Flüsse.
Im Schnitt werden zum Schutz privater Geräte 5,10 Euro im Monat ausgegeben. Viele verzichten selbst…
