Proton

Mit über 33 Millionen registrierten Nutzern und mehr als 100.000 Business-Kunden gehört LastPass zu den weltweit beliebtesten Passwort-Managern. Nach einer sich zuspitzenden Serie von äußerst schädlichen Enthüllungen in den letzten Monaten hat LastPass nun zugegeben, dass Hacker sein System mehr als einmal kompromittiert und einen riesigen Schatz an äußerst sensiblen Kundendaten gestohlen haben.

In diesem Artikel untersuchen wir den LastPass-Datenleck und betrachten, welche Lehren daraus gezogen werden können.

Chronologie einer eskalierenden Krise

In seinen Mitteilungen hat LastPass großen Wert darauf gelegt, zwischen seiner Entwicklungs- und seiner Produktionsumgebung zu unterscheiden, die es behauptet physisch voneinander getrennt zu sein (d.h. auf vollkommen unterschiedlichen Servernetzwerken gehostet zu werden).

Die Entwicklungsumgebung wird verwendet, um Software zu entwickeln und zu testen, bevor sie in die Produktion geht. Kundendaten werden in der Entwicklungsumgebung nicht gespeichert. Die Produktionsumgebung enthält die Software und Infrastruktur, die verwendet wird, um Kunden täglich den Dienst bereitzustellen. Kundendaten werden in der Produktionsumgebung gespeichert.

Die Geschichte entfaltete sich in drei Mitteilungen von LastPass:

  • August 2022: CEO Karim Toubba veröffentlichte eine Erklärung(neues Fenster), in der er sagte, dass “eine unbefugte Partei Zugang zu Teilen der LastPass-Entwicklungsumgebung durch ein kompromittiertes Entwicklerkonto erlangt und Teile des Quellcodes sowie einige proprietäre LastPass-technische Informationen entnommen hat”. Toubba stellte fest, dass da nur die Entwicklungsumgebung kompromittiert wurde, keine Kundendaten abgerufen wurden. Er behauptete auch, dass der Einbruch erfolgreich eingedämmt worden sei.
  • Dezember 2022: Toubba aktualisierte seine frühere Aussage, um einen zweiten Einbruch, diesmal in seine Produktionsumgebung, anzukündigen. Bei diesem Vorfall konnte ein Angreifer seine Kundentresordaten kopieren.

Was ist also passiert?

Letztendlich stellte sich der Angriff als weit schlimmer heraus, als LastPass anfangs mitgeteilt hatte:

1. Hacker konnten Zugang zum Benutzerkonto eines LastPass-Softwareingenieurs erlangen. Dies wurde mittels gestohlener Anmeldeinformationen (Benutzername und Passwort) erreicht. LastPass-Mitarbeiterkonten sind durch Zwei-Faktor-Authentifizierung (2FA) geschützt, doch der Angreifer nutzte erfolgreich eine Taktik, die als Ermüdung bei Mehrfaktorauthentifizierung (MFA)(neues Fenster) bekannt ist, um den Ingenieur zu täuschen und eine gefälschte 2FA-Anfrage zu akzeptieren.

Nachdem die Amazon Web Services(neues Fenster) (AWS) Cloud-Entwicklungsumgebung kompromittiert wurde, wurden wertvolle Unternehmensressourcen gestohlen, jedoch keine Kundendaten. Nachdem der Vorfall entdeckt wurde, glaubte LastPass, den Einbruch eingedämmt zu haben, indem die Entwicklungsumgebung von Grund auf neu aufgebaut und alle Benutzeranmeldedaten für die Entwicklerumgebung geändert wurden.

2. Unbekannt für LastPass zu dieser Zeit, hatten die Angreifer AWS-Protokolle untersucht, um herauszufinden, wo LastPass’ Verschlüsselungsschlüssel gespeichert waren, wer darauf Zugriff hatte und von welchen IP-Adressen sie abgerufen wurden.

3. Die Angreifer scannten diese IP-Adressen nach Schwachstellen und entdeckten, dass ein leitender DevOps-Ingenieur von LastPass eine sehr alte Version von Plex(neues Fenster) in seinem Heimnetzwerk verwendete.

4. Plex ist eine beliebte Plattform, die es dir ermöglicht, ein Gerät als Medienserver zu konfigurieren, der deine eigenen Medieninhalte auf deine anderen Geräte streamen kann. Der leitende DevOps-Ingenieur verwendete eine Version, die drei Jahre alt war und eine kritische Schwachstelle(neues Fenster) aufwies, die es jedem, der Zugriff auf den Plex-Server hat, ermöglicht, bösartigen Code auf dem Host-Computer hochzuladen und auszuführen. Plex hat die Schwachstelle vor drei Jahren behoben, aber der Ingenieur hatte seine Software nicht aktualisiert.

5. Unter Ausnutzung dieser Schwachstelle installierten die Angreifer Keylogger-Malware auf dem Heimsystem des DevOps-Ingenieurs. Als der leitende DevOps-Ingenieur dieses Heimsystem nutzte, um sich bei LastPass anzumelden und legitim auf den LastPass-Unternehmensspeicher zuzugreifen, hatte der Angreifer nun alle erforderlichen Anmeldedaten, um auf die Speicher selbst zuzugreifen.

Da dieses Heimsystem sowohl unter dem Radar des Unternehmens lag, aber ansonsten als normaler Verkehr für die LastPass-Sicherheitskontrollen erschien, konnte der Angreifer fast acht Wochen lang unbemerkt agieren (vom 12. August 2022 bis zum 26. Oktober 2022).

6. Mit dieser gut etablierten Position und nahezu unbegrenztem Zugang zu geheimen Anmeldeinformationen konnten die Angreifer sowohl auf die Entwicklungs- als auch auf die Produktionsumgebungen frei zugreifen. Dies ermöglichte es ihnen, verschlüsselte Kundendaten, kritische Datenbank-Backups und Quellcode herunterzuladen.

Mit dem Zugang zum geheimen Speicher können sie nun auch einige der Daten, die in Ruhe verschlüsselt wurden, vollständig entschlüsseln.

Was genau wurde gestohlen?

1. Kundendatenbanken für Passwörter.

LastPass hat die genaue Anzahl der gestohlenen Kundendatenbanken für Passwörter nicht offengelegt, aber es scheint eine große Menge zu sein, möglicherweise alle.

Glücklicherweise waren diese Passwortdatenbanken verschlüsselt, so dass der Angreifer nicht trivial Benutzernamen und Passwörter der Kunden erhalten kann, aber das bedeutet auch nicht, dass es unmöglich ist.

Leider sind viele Menschen, die schwache Passwörter verwenden, leichte Ziele für Brute-Force-Angriffe(neues Fenster). Darüber hinaus verwenden viele Menschen zwischen Websites dieselben Passwörter, was sie anfällig für Credential-Stuffing-Angriffe(neues Fenster) macht. Diese Angriffe können offline durchgeführt werden und kritisch ist, dass sie in aller Ruhe vom Angreifer durchgeführt werden können (der Angreifer hat praktisch unbegrenzt Zeit, diese Angriffe durchzuführen).

Während des Einbruchs wurde auch eine unbestimmte Menge an Quellcode gestohlen. Es ist möglich, dass ein geschickter Angreifer diesen Code nutzen kann, um Schwachstellen in der Verschlüsselungslogik oder dem Dienst zu finden, die genutzt werden können, um das Brechen der Masterpasswörter der Benutzer zu umgehen oder zu vereinfachen.

Es ist auch erwähnenswert, dass einige Informationen in den Datenbanken nicht verschlüsselt sind und daher vom Angreifer frei abgerufen werden können. Dazu gehören Metadaten wie URLs, Dateipfade zur installierten LastPass-Software für Windows oder macOS und bestimmte Benutzer-E-Mail-Adressen.

2. LastPass MFA/Föderationsdatenbank

Diese Datenbank enthielt alle Informationen, die benötigt wurden, um die 2FA-Authentifizierung für LastPass-Konten zu kompromittieren. Wenn also die Anmeldedaten einer Datenbank kompromittiert sind, hilft das Aktivieren von 2FA wenig.

Diese Datenbank war verschlüsselt, aber ihre Verschlüsselungsschlüssel wurden während des zweiten Vorfalls gestohlen.

Wer ist verantwortlich und warum?

Wir werden wohl nie sicher wissen, wer hinter diesem Angriff steckte, aber einige vermuten, dass es nordkoreanische Hacker gewesen sein könnten.

Das Motiv war wahrscheinlich, die gestohlenen Passwörter zu nutzen, um die Kryptowährungs-Wallets von LastPass-Nutzern zu plündern. Nordkoreanische Hacker haben in den letzten fünf Jahren schätzungsweise 1,2 Milliarden Dollar(neues Fenster) an Kryptowährungen und anderen virtuellen Vermögenswerten gestohlen, allein die Hälfte davon im Jahr 2022. In der Tat macht der Diebstahl kryptografischer Vermögenswerte wahrscheinlich einen großen Prozentsatz des BIP von Nordkorea aus.

Solche Vermutungen sind jedoch rein spekulativ.

Welche Lehren können Unternehmen aus dem Vorfall ziehen?

1. Halte alle Software auf dem neuesten Stand mit den aktuellsten Sicherheitsupdates (dieser Angriff hätte möglicherweise verhindert werden können, wenn ein Plex-Server aktualisiert worden wäre).

2. Greife nicht von deinem privaten Computer auf sensible Firmenkonten zu. Wenn der betroffene DevOps-Ingenieur einen Firmenlaptop mit angemessenen Schutzmaßnahmen verwendet hätte (wie Antimalware-Software, die den Keylogger erkennen könnte), wäre der Vorfall wahrscheinlich nicht so weit eskaliert.

3. Kein Sicherheitssystem, egal wie gut durchdacht, sollte jemals als 100% sicher betrachtet werden. Zum Glück verwendet LastPass eine Verschlüsselung mit Nullzugriff, sonst hätte die ohnehin schon schlimme Situation noch viel schlimmer werden können. Strenge Verschlüsselung mit Nullzugriff(neues Fenster) bleibt der beste Weg für Unternehmen, um Daten zu schützen.

Was hätte LastPass besser machen können

LastPass hatte zwar ausgleichende Kontrollmechanismen eingerichtet, aber es gibt viele Bereiche, in denen es hätte besser machen können.

1. Systeme entwickeln, die für das Worst-Case-Szenario ausgelegt sind. LastPass hat wahrscheinlich keine staatlichen Akteure in seinem Bedrohungsmodell berücksichtigt. Es ist wahr, dass es sehr schwierig ist, ein Sicherheitssystem zu entwerfen, das sowohl benutzerfreundlich als auch gegen solche Bedrohungen resistent ist, aber angesichts der äußerst sensiblen Natur der Informationen, die der Dienst speziell schützen sollte, hat LastPass sein Bedrohungsmodell klar nicht angemessen adressiert.

2. Einen moderneren Hashing-Algorithmus verwenden, um die Passworttresore der Nutzer zu sichern. LastPass verwendete PBKDF2(neues Fenster), das mittlerweile von moderneren Algorithmen wie bcrypt(neues Fenster) und Argon2(neues Fenster) überholt wurde. PBKDF2 lässt sich vergleichsweise einfach per Brute-Force-Methode knacken(neues Fenster) im Vergleich zu diesen moderneren Alternativen, was bedeutet, dass selbst wenn die Passwortdatenbanken der Nutzer verschlüsselt sind, diese kryptografische Nachlässigkeit die Passwortdatenbanken deutlich leichter zu knacken macht.

3. Alle Daten verschlüsseln. LastPass verschlüsselt Daten, die es als hochsensibel einstuft, aber es lässt auch ziemlich viele Daten unverschlüsselt. Scheinbar harmlose Informationen (wie gespeicherte URLs, die von LastPass nicht verschlüsselt werden) können verwendet werden, um sehr detaillierte Informationen über dich zu erschließen.

Wenn ein Angreifer zum Beispiel sehen kann, dass du Passwörter für ein Konto bei Grindr, gop.com oder sogar einer Manga-Fanseite gespeichert hast, wissen sie viel über dich als Person, selbst wenn sie nicht tatsächlich auf das Konto zugreifen können. Diese Informationen können für sich genommen bereits sehr schädlich sein, aber sie können den Hackern auch ermöglichen, deine Passwörter mit einem hochgradig personalisierten Phishing-Angriff zu kompromittieren.

4. Besser mit seinen Nutzern kommunizieren. LastPass wartete bis zum Donnerstag vor Weihnachten, um leise zu offenbaren, dass der Hack, den es erlitten hatte, weitaus schwerwiegender war, und noch schädlichere Enthüllungen wurden erst Monate später bekannt. Dies hat zu einer erheblichen Gegenreaktion(neues Fenster) innerhalb der LastPass-Community geführt.

Was kann ich persönlich tun, um mich zu schützen?

Generell empfehlen wir, als LastPass-Nutzer alle deine Passwörter zu aktualisieren und zu ändern. Aufgrund der schwachen Verschlüsselung und der Tatsache, dass der Angreifer nun unbegrenzt Zeit hat, deine Passwortdatenbank zu knacken, solltest du davon ausgehen, dass deine Passwortdatenbank früher oder später geknackt werden kann; wenn nicht jetzt, dann in der Zukunft, wenn noch leistungsfähigere Computer zur Verfügung stehen.

In Zukunft kannst du dieses Risiko mindern, indem du stärkere Passwörter verwendest, insbesondere für das Hauptpasswort eines Passwortmanagers.

Oder noch besser, verwende eine Passphrase. Dein Passwort-Manager ist super, um Passwörter wie p@*(aF296Bu% zu merken, aber das menschliche Gehirn ist nicht so konzipiert und du musst dir dein Masterpasswort merken, um sicher auf den Rest deiner computergenerierten Passwörter zugreifen zu können.

Eine Passphrase, die aus mehreren echten Wörtern besteht, ist viel sicherer als jedes einzelne Passwort, das sich das menschliche Gehirn wahrscheinlich merken kann. Diceware(neues Fenster) ist eine großartige Methode, um wirklich sichere, aber dennoch einprägsame Passphrasen zu generieren.

Abschließende Gedanken

Einfach ausgedrückt, Sicherheit ist schwierig. Auf der Verteidigungsseite musst du dich gegen alle möglichen Eindringlinge absichern, während der Angreifer nur eine einzige Lücke finden muss. Das ist eine Asymmetrie, die tendenziell den Angreifer bevorzugt.

Die beste Verteidigung ist eine starke Sicherheitskultur, in der sie ein vollständig integrierter Teil der DNA eines Unternehmens wird. Leider sind viele der Unternehmen, die heute für den Schutz sehr sensibler Daten verantwortlich sind, keine Unternehmen, die Sicherheit und Datenschutz an erste Stelle setzen, und sind daher anfälliger für Verletzungen.

Auch Kryptografie ist schwer, und es konsequent richtig zu machen, erfordert jahrelange Erfahrung und spezialisiertes Fachwissen, das vielen Unternehmen einfach fehlt. Transparenz hätte hier auch helfen können; wäre LastPass Open Source gewesen, hätten einige seiner kryptografischen Schwächen vielleicht früher gefunden und behoben werden können. Aus diesen Gründen wird es schwer sein, LastPass (oder jedem anderen Passwort-Manager) zu vertrauen, der nicht Open Source ist.

Passwort-Manager sind heute für Internetnutzer immer wichtiger, und jetzt mehr denn je ist es wichtig, dass Technologieunternehmen es richtig machen.

Verwandte Artikel

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.