Abo aktiv

Hack: Angreifer kopierten Lastpass-Tresore

Angreifer konnten auf ein Lastpass-Backup zugreifen und die darin enthaltenen Daten kopieren. Darunter auch Kundentresore, die nur teilweise verschlüsselt sind.

Artikel veröffentlicht am 23. Dezember 2022, 10:49 Uhr, Moritz Tremmel

Nur ein Teil der Daten im Lastpass-Tresor sind verschlüsselt. (Bild: Georg Bommeli/Unsplash)

In den vergangenen Monaten wurde der Passwortmanager Lastpass gleich zweimal gehackt. Dabei sollen die Angreifer auf deutlich umfangreichere Daten zugegriffen haben, als bisher bekannt war. Darunter waren die verschlüsselten Passwort-Tresore der Nutzer, aber auch unverschlüsselte Daten, beispielsweise die von den Nutzern hinterlegten URLs.

Laut Lastpass konnten die Angreifer bei einem ersten Hack im August 2022 Quellcode und technische Informationen entwenden, die ihnen etwas später ermöglichten, den Hack eines Cloudservers außerhalb von Lastpass eigentlicher Infrastruktur zu übernehmen. Dieser sei als Backupserver für Kundendaten verwendet worden. Im vorherigen Statement erklärte Lastpass, dass der Cloudserver zum Austausch von Daten mit dem Dienst Goto (früher Logmein) genutzt wurde.

Unter den entwendeten Daten sei auch ein Zugriffs- sowie ein Entschlüsselungs-Key für den Cloudspeicher gewesen, mit dem die Angreifer auf die Inhalte der verschlüsselten Backups zugreifen konnten, erklärte Lastpass. Aus diesem hätten die Angreifer Informationen wie "grundlegende Kundenkontoinformationen und zugehörige Metadaten, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den Lastpass-Dienst zugriffen" kopiert.

Lastpass-Tresore mit unverschlüsselten Daten kopiert

"Der Bedrohungsakteur war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält", schreibt Lastpass. Wie auch im vorherigen Statement betont Lastpass seine Zero-Knowledge-Architektur, die jedoch offensichtlich nur für wenige Datentypen gilt.

Der Key für die Entschlüsselung der Nutzernamen, Passwörter und Notizen wird aus dem Lastpass-Nutzerpasswort abgeleitet und verbleibt auf den Geräten der Nutzer. Entsprechend dürften die Angreifer bei entsprechend starken Passwörtern nicht in der Lage sein (Brute-Force-Angriff), auf die Nutzerdaten zuzugreifen. Das gilt allerdings wohl nicht für alle Unternehmenskunden. Betroffene wurden laut Lastpass über mögliche Sicherheitsrisiken informiert.

Zur Ableitung des Schlüssels aus dem Nutzerpasswort nutzt Lastpass PBKDF2 mit 100.100 Iterationen. Passwörter müssen seit 2018 mindestens 12 Stellen lang sein. Wer nach den Sicherheits- und Datenschutzproblemen bei Lastpass zu einem anderen Passwortmanager wechseln möchte, findet vielleicht bei den Open-Source-Alternativen Bitwarden oder KeepassXC (Test) ein neues Zuhause.