Beim Passwortmanager Lastpass kehrt keine Ruhe ein. Nachdem vergangenen August bekannt geworden war, dass ein Hacker Teile des Quellcodes erbeuten konnte, kam kurz vor Jahreswechsel ans Licht, dass der Angreifer Zugriff auf den Passwortspeicher und persönliche Nutzerinformationen hatte. Aber damit nicht genug. Wie "Ars Technica" berichtet, gab das Unternehmen am Montag bekannt, dass der Akteur über den privaten Computer eines Entwicklers erneut Zugriff auf den Passwortspeicher von Kundinnen und Kunden erlangen konnte.

Die Attacke folgte direkt auf das Datenleck vom Sommer. Dem Unternehmen zufolge waren die weiterhin unbekannten Akteure zwischen 12. August und 26. Oktober 2022 "aktiv an einer neuen Reihe von Aufklärungs-, Enumeration- und Exfiltrationsaktivitäten beteiligt". Dem Bericht zufolge war es ihnen dadurch möglich, die Login-Daten eines Entwicklers abzugreifen – die ihm wiederum Zugang zu einem Lastpass-Datenspeicher gaben. Dort waren Backups der Passwortspeicher von Kunden gelagert.

Privater Computer

"Dazu wurde der Heimcomputer des Entwicklers ins Visier genommen und ein angreifbares Mediensoftwarepaket eines Drittanbieters ausgenutzt", heißt es in einem Blogeintrag. Dank diesem sei die Einschleusung von Schadsoftware möglich gewesen – mit der das Master-Passwort während der Eingabe abgegriffen werden konnte. Mit diesem erlangten die Akteure dann Zugriff auf den Unternehmenstresor des Entwicklers.

Die nun bekanntgewordenen Details bieten tieferen Einblick in die Reihe an Sicherheitslücken, mit denen Lastpass seit vergangenem Sommer zu kämpfen scheint. Erst im Dezember gab das Unternehmen zu, dass der Angreifer Zugriff auf den Passwortspeicher von Nutzerinnen und Nutzern hatte. Es wurde zwar betont, dass Daten wie Login-Name, Passwort und Notizen durch das Master-Passwort weiterhin geschützt seien, Sicherheitsexperten warnten jedoch, dass der tatsächliche Schutz von der Qualität des gesetzten Master-Passworts abhängt. Das Problem war außerdem, dass selbst ohne Schlüssel ausgelesen werden kann, zu welchen Websites ein Eintrag gehört. Außerdem konnten die Angreifer den Namen, die E-Mail- und die Rechnungsadresse sowie die Telefonnummer von Kunden erbeuten.

Unbemerkte Aktionen

Weil die Angreifer die echten Zugangsdaten eines Entwicklers erbeutet hatten, war es dem Unternehmen im jüngsten Fall nicht umgehend möglich, zwischen legitimen Aktivitäten und jenen des Hackers zu unterscheiden. Schlussendlich hätte der Cloudanbieter Amazon Web Services Alarm geschlagen, als versucht wurde, nicht autorisierte Aktivitäten durchzuführen.

Wie "Ars Technica" unter Berufung auf eine mit der Materie vertraute Person berichtet, konnte die Schadsoftware über Plex eingeschleust werden. Die Medienzentrale wurde vergangenen August ebenso Opfer eines Hackerangriffs. Per E-Mail informierte das Unternehmen seine Userinnen damals, dass die privaten Daten – darunter E-Mail-Adressen und Nutzernamen – von 15 Millionen Plex-Konten abgesaugt worden waren. Ob ein Zusammenhang zwischen den beiden Vorfällen besteht, ist unklar. Weder Plex noch Lastpass beantworteten eine entsprechende Anfrage. (mick, 28.2.2023)