Cyberangreifer haben die internen Systeme von LastPass kompromittiert und sich mit Quellcode und geistigem Eigentum davongemacht.
Das Passwortverwaltungsunternehmen sagte, es habe vor zwei Wochen anomale Aktivitäten in seiner Entwicklungsumgebung festgestellt. Nachdem sie die forensischen Daten durchforstet hatten, stellten die Ermittler fest, dass jemand (oder jemand) ein Entwicklerkonto kompromittiert hatte, um Zugriff auf das Netzwerk zu erhalten, indem sie „Teile des Quellcodes und einige proprietäre technische Informationen von LastPass“ entwendeten, so ein Ankündigung diese Woche gepostet.
Entscheidend war, dass die Angreifer nicht auf Kundendaten oder verschlüsselte Passworttresore zugreifen konnten.
„Wir verwenden eine branchenübliche „Zero-Knowledge“-Architektur, die sicherstellt, dass LastPass niemals das Master-Passwort unserer Kunden kennen oder sich Zugang zu ihm verschaffen kann [und es] sicherstellt, dass nur der Kunde Zugriff hat, um Tresordaten zu entschlüsseln“, so die Aussage Lastpass.
Ajay Arora, Mitbegründer und Präsident von BluBracket, bemerkte jedoch, dass Angreifer intensiv nach potenziellen Schwachstellen suchen werden, die sie im LastPass-Quellcode ausnutzen können, was möglicherweise zu Folgeangriffen führen wird.
„Eine weitere Folge, die aus gestohlenem oder durchgesickertem Quellcode entstehen kann, ist, dass dieser Code Geheimnisse über die Architektur einer Anwendung preisgeben kann“, sagte er in einer per E-Mail gesendeten Erklärung. „Dies kann Informationen darüber preisgeben, wo bestimmte Daten gespeichert sind und welche anderen Ressourcen eine Organisation möglicherweise verwendet. Diese Faktoren könnten dann schlechte Akteure dazu befähigen, einer Organisation im Nachhinein zusätzlichen Schaden zuzufügen.“
Tom Kellermann, Senior Vice President of Cyber Strategy bei Contrast Security, sagte in einer Erklärung auch, dass die Angreifer herumgesucht haben könnten, um zu sehen, ob sie einen Weg in die Partner- oder Lieferantennetzwerke von LastPass finden könnten.
„Cybersicherheitsunternehmen werden ins Visier genommen, um dies zu erleichtern Inselhüpfen," er sagte. "Nach dem FireEye-Bruch, sollte die Branche aufgewacht sein. Im Jahr 2022 müssen Cybersicherheitsunternehmen praktizieren, was sie predigen. Viele investieren immer noch zu wenig in ihre eigene Cybersicherheit. Erwarten Sie, getroffen zu werden, und bereiten Sie sich darauf vor, zu reagieren.“
