Bei einem IT-Sicherheitsvorfall konnten Cyberkriminelle auf Kundendaten einschließlich gespeicherter Passwörter zugreifen. Die Vorkommnisse ereigneten sich bei LastPass, einem Anbieter für Passwortmanager.
Der Onlinedienst LastPass, bestätigt, dass Unbefugte beim Hacken des Cloudsystems eines Drittanbieters Zugang zu Kundendaten hatten. Sensible Daten wie E-Mail-Adressen und Passwörter konnten eingesehen werden, jedoch seien viele der Daten verschlüsselt gewesen.
Der Sicherheitsvorfall ereignete sich Anfang Dezember 2022. Hierbei konnten Cyberkriminelle auf einen Cloudspeicher mit Daten von LastPass zugreifen. Bereits im August haben die Hacker den Quellcode gestohlen und daraufhin einen Mitarbeiter attackiert, um auf diese Weise an die Zugangsdaten der Cloud zu gelangen. Im Dezember wurde Kunden fälschlicherweise mitgeteilt, dass die Kundenpasswörter sicher seien. Wie viele Kunden nun tatsächlich betroffen sind, ist derzeit noch unklar.
Daten wurden kopiert, sind aber noch geschützt
In einem aktualisierten Statement bestätigte LastPass nun, dass Cyberkriminelle tatsächlich Zugang zu Kundendaten wie E-Mail-Adressen, Passwörter und Telefonnummern hatten. Passworttresore von Kunden, die aus einem Backup kopiert wurden, enthielten angeblich unverschlüsselte URLs und verschlüsselte Daten wie Nutzernamen und Passwörter. Dabei ist darauf hinzuweisen, dass auch URLs sensible Informationen beinhalten können.
Nutzern wurde durch die Verantwortlichen versichert, dass die verschlüsselten Daten mit 256 Bit AES wirksam vor Fremdzugriff geschützt seien. Um verschlüsselte Daten auszulesen, müssten Hacker einen Schlüssel aus dem Masterpasswort von Nutzern ableiten. Das Masterpasswort wird allerdings ausschließlich lokal auf Geräten von Nutzern gespeichert.
Sicherheitsmaßnahmen
Dennoch warnt LastPass vor der Nutzung von leicht zu erratenden und kurzen Masterpasswörtern. In diesem Fall könnten Kriminelle unter Umständen die Kennwörter via Brute-Force-Attacken ausfindig machen. Um Brute-Force-Angriffen entgegenzuwirken, setzt LastPass das Verfahren Password-Based Derivation Function 2 (PBKDF2) ein.
Dabei werden Kennwörter mit einer kryptografischen Hashfunktion und einem Saltwert um weitere beliebig ausgewählte Zeichenfolgen erweitert. Die Vorgehensweise wird wiederholt auf das Ergebnis angewendet, wodurch eine Rekonstruktion durch Brute-Force-Attacken und Rainbow Tables deutlich erschwert wird.
LastPass setzt standardmäßig auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion wird SHA256 eingesetzt. Open Web Application Security Project (OWASP) 310.000 Wiederholungen. LastPass-Kunden können den Wert in ihrem Nutzeraccount anpassen.
Ist die Sicherheit gewährleistet?
LastPass weist darauf hin, dass Kennwörter, welche nach den Richtlinien für das Erstellen eines starken Masterpasswortes in Kombination mit der Verschlüsselung und PBKDF2 generiert wurden, sehr sicher sind und dadurch vor Hackern geschützt sind. Werden von Kunden schwächere Passwörter genutzt, sollten diese geändert werden. Des Weiteren wird empfohlen, dass Nutzer niemals identische Kennwörter bei mehreren Online-Diensten verwenden. In diesem Fall könnten Cyberkriminelle mit Hilfe eines geknackten Passwortes auf verschiedene Dienste zugreifen.
Geschäftskunden, welche LastPass Federated Login Services nutzen, sind aufgrund weiterer Absicherungen von Brute-Force-Attacken nicht bedroht. Um weitere Sicherheitsvorfällen zu verhindern, hat LastPass, nach eigenen Angaben, seine gesamte IT-Infrastruktur neu errichtet und weitere Sicherheitsmechanismen implementiert.