Vor zwei Wochengab der Passwort-Manager-Gigant LastPass bekannt, dass seine Systeme in diesem Jahr zum zweiten Mal kompromittiert wurden.
Zurück im August, LastPass gefunden dass das Arbeitskonto eines Mitarbeiters kompromittiert wurde, um unbefugten Zugriff auf die Entwicklungsumgebung des Unternehmens zu erhalten, in der ein Teil des Quellcodes von LastPass gespeichert ist. Karim Toubba, CEO von LastPass, sagte, die Aktivitäten des Hackers seien begrenzt und eingedämmt, und teilte den Kunden mit, dass sie keine Maßnahmen ergreifen müssten.
Spulen wir bis Ende November vor, und LastPass bestätigte einen zweiten Kompromiss, von dem es sagte, dass er mit seinem ersten zusammenhängt. Dieses Mal hatte LastPass nicht so viel Glück. Der Eindringling hatte sich Zugang zu Kundendaten verschafft.
In einem kurzen Blogbeitrag sagte Toubba, dass die im August erhaltenen Informationen verwendet wurden, um auf einen Cloud-Speicherdienst eines Drittanbieters zuzugreifen, den LastPass zum Speichern von Kundendaten sowie Kundendaten für seine Muttergesellschaft GoTo verwendet, die auch Eigentümer von LogMeIn und GoToMyPC ist .
Aber seitdem haben wir nichts Neues von LastPass oder GoTo gehört, deren CEO Paddy Srinivasan eine gepostet hat noch vagere Aussage Er sagte nur, dass es den Vorfall untersuche, versäumte jedoch anzugeben, ob seine Kunden ebenfalls betroffen seien.
GoTo-Sprecherin Nikolett Bacso Albaum lehnte eine Stellungnahme ab.
Im Laufe der Jahre hat Tech über unzählige Datenschutzverletzungen und darüber berichtet, worauf zu achten ist, wenn Unternehmen Sicherheitsvorfälle offenlegen. Damit hat sich Tech ausgezeichnet und kommentierte Datenschutzverletzung von LastPass ?️ mit unserer Analyse dessen, was es bedeutet und was LastPass ausgelassen hat – genau wie wir es Anfang dieses Jahres mit Samsungs immer noch ungelöstem Verstoß getan haben.
Was LastPass in seiner Datenschutzverletzungsmitteilung gesagt hat
LastPass und GoTo teilen sich ihren Cloud-Speicher
Ein wesentlicher Grund, warum sowohl LastPass als auch GoTo ihre jeweiligen Kunden benachrichtigen, liegt an den beiden Unternehmen denselben Cloud-Speicher teilen ?️.
Keines der Unternehmen nannte den Cloud-Speicherdienst eines Drittanbieters, aber angesichts dessen handelt es sich wahrscheinlich um Amazon Web Services, den Cloud-Computing-Zweig von Amazon Amazon Blogbeitrag von 2020 beschrieb, wie GoTo, damals bekannt als LogMeIn, über eine Milliarde Datensätze aus der Oracle-Cloud zu AWS migrierte.
Es ist nicht ungewöhnlich, dass Unternehmen ihre Daten – auch von verschiedenen Produkten – auf demselben Cloud-Speicherdienst speichern. Aus diesem Grund ist es wichtig, für angemessene Zugriffskontrollen zu sorgen und Kundendaten zu segmentieren, damit im Falle eines Diebstahls einer Reihe von Zugangsschlüsseln oder Anmeldeinformationen nicht auf den gesamten Bestand an Kundendaten eines Unternehmens zugegriffen werden kann.
Wenn das von LastPass und GoTo gemeinsam genutzte Cloud-Speicherkonto kompromittiert wurde, kann es gut sein, dass die nicht autorisierte Partei Schlüssel erhalten hat, die einen breiten, wenn nicht uneingeschränkten Zugriff auf die Cloud-Daten des Unternehmens ermöglichten, verschlüsselt oder auf andere Weise.
LastPass weiß noch nicht, worauf zugegriffen wurde oder ob Daten entnommen wurden
In seinem Blogbeitrag sagte LastPass, es arbeite „fleißig“, um zu verstehen welche konkreten Informationen ?️ von der unbefugten Partei zugegriffen wurde. Mit anderen Worten, LastPass weiß zum Zeitpunkt des Blogbeitrags noch nicht, auf welche Kundendaten zugegriffen wurde oder ob Daten aus seinem Cloud-Speicher exfiltriert wurden.
Es ist eine schwierige Situation für ein Unternehmen. Einige gehen dazu über, Sicherheitsvorfälle schnell anzukündigen, insbesondere in Gerichtsbarkeiten, die eine unverzügliche Offenlegung verpflichten, selbst wenn das Unternehmen noch wenig oder gar nichts darüber mitzuteilen hat, was tatsächlich passiert ist.
LastPass wird in einer viel besseren Position sein, um zu untersuchen, ob es Protokolle hat, die es durchkämmen kann, was den Einsatzkräften helfen kann, zu erfahren, auf welche Daten zugegriffen wurde und ob etwas exfiltriert wurde. Das ist eine Frage, die wir Unternehmen oft stellen, und LastPass ist da nicht anders. Wenn Unternehmen sagen, dass sie „keine Beweise“ für einen Zugriff oder eine Kompromittierung haben, kann es sein, dass ihnen die technischen Mittel wie Protokollierung fehlen, um zu wissen, was vor sich ging.
Wahrscheinlich steckt ein bösartiger Akteur hinter dem Einbruch
Der Wortlaut des Blogposts von LastPass im August ließ die Möglichkeit offen, dass die „unbefugte Partei“ nicht in böser Absicht gehandelt haben könnte.
Es ist sowohl möglich, unbefugten Zugriff auf ein System zu erlangen (und dabei gegen das Gesetz zu verstoßen), als auch in gutem Glauben zu handeln, wenn das Endziel darin besteht, das Problem dem Unternehmen zu melden und es zu beheben. Es wird Sie möglicherweise nicht von einer Hacking-Anklage entlasten, wenn das Unternehmen (oder die Regierung) mit dem Eindringen nicht zufrieden ist. Aber der gesunde Menschenverstand überwiegt oft, wenn klar ist, dass ein gutgläubiger Hacker oder Sicherheitsforscher daran arbeitet, ein Sicherheitsproblem zu beheben, und keins verursacht.
An diesem Punkt ist es ziemlich sicher anzunehmen, dass die Unbefugte ?️ Hinter dem Angriff steckt ein bösartiger Akteur, auch wenn das Motiv des Hackers – oder der Hacker – noch nicht bekannt ist.
Der Blogbeitrag von LastPass besagt, dass die nicht autorisierte Partei verwendete Informationen erhalten ?️ während der August-Pause, um LastPass ein zweites Mal zu kompromittieren. LastPass sagt nicht, was diese Informationen sind. Es könnte sich um Zugriffsschlüssel oder Zugangsdaten handeln, die von der nicht autorisierten Partei während ihres Überfalls auf die Entwicklungsumgebung von LastPass im August erlangt, aber von LasPass nie widerrufen wurden.
Was LastPass bei seiner Datenschutzverletzung nicht gesagt hat
Wir wissen nicht, wann der Bruch tatsächlich passiert ist
LastPass hat nicht gesagt, wann der zweite Verstoß passiert ist, nur dass es so war „kürzlich entdeckt“ ?️was sich auf die Entdeckung des Verstoßes durch das Unternehmen und nicht unbedingt auf den Eingriff selbst bezieht.
Es gibt keinen Grund, warum LastPass oder ein anderes Unternehmen das Datum des Eindringens zurückhalten würde, wenn es wüsste, wann es war. Wenn es schnell genug gefangen wurde, würden Sie erwarten, dass es als Punkt des Stolzes erwähnt wird.
Aber Unternehmen verwenden stattdessen manchmal vage Begriffe wie „kürzlich“ (oder „erweitert“), die ohne den notwendigen Kontext nicht wirklich etwas bedeuten. Es könnte sein, dass LastPass seine zweite Sicherheitslücke erst entdeckte, als der Eindringling sich Zugang verschafft hatte.
LastPass sagt nicht, welche Art von Kundeninformationen gefährdet sein könnten
Eine naheliegende Frage ist, welche Kundeninformationen LastPass und GoTo in ihrem gemeinsamen Cloud-Speicher speichern. LastPass sagt das nur „bestimmte Elemente“ von Kundendaten ?️ zugegriffen wurden. Das kann so umfassend sein wie die persönlichen Daten, die Kunden LastPass bei der Registrierung angegeben haben, wie Name und E-Mail-Adresse, bis hin zu sensiblen Finanz- oder Rechnungsinformationen und verschlüsselten Passwort-Tresoren der Kunden.
LastPass legt großen Wert darauf, dass die Passwörter der Kunden sicher sind, da das Unternehmen seine Zero-Knowledge-Architektur entwickelt hat. Zero Knowledge ist ein Sicherheitsprinzip, das es Unternehmen ermöglicht, die verschlüsselten Daten ihrer Kunden so zu speichern, dass nur der Kunde darauf zugreifen kann. In diesem Fall speichert LastPass den Passwort-Tresor jedes Kunden in seinem Cloud-Speicher, aber nur der Kunde hat das Master-Passwort zum Entsperren der Daten, nicht einmal LastPass.
Der Wortlaut des Blog-Beitrags von LastPass ist mehrdeutig, ob die verschlüsselten Passwort-Tresore der Kunden in demselben gemeinsam genutzten Cloud-Speicher gespeichert sind, der kompromittiert wurde. LastPass sagt nur, dass Kundenpasswörter „sicher verschlüsselt bleiben“ ?️ Dies kann immer noch wahr sein, selbst wenn die unbefugte Partei auf verschlüsselte Kundentresore zugegriffen oder diese exfiltriert hat, da das Master-Passwort des Kunden immer noch benötigt wird, um seine Passwörter zu entsperren.
Wenn es dazu kommt, dass verschlüsselte Passwort-Tresore von Kunden offengelegt oder anschließend exfiltriert werden, würde dies ein erhebliches Hindernis für den Zugriff auf die Passwörter einer Person beseitigen, da alles, was sie benötigen, das Master-Passwort eines Opfers ist. Ein exponierter oder kompromittierter Passwort-Tresor ist nur so stark wie die Verschlüsselung, die verwendet wird, um ihn zu verschlüsseln.
LastPass hat nicht gesagt, wie viele Kunden betroffen sind
Wenn der Eindringling auf ein gemeinsam genutztes Cloud-Speicherkonto zugegriffen hat, in dem Kundendaten gespeichert sind, kann davon ausgegangen werden, dass er erheblichen, wenn nicht uneingeschränkten Zugriff auf die gespeicherten Kundendaten hatte.
Ein Best-Case-Szenario ist, dass LastPass Kundeninformationen segmentiert oder unterteilt, um ein Szenario wie einen katastrophalen Datendiebstahl zu verhindern.
LastPass sagt, dass seine Entwicklungsumgebung, die ursprünglich im August kompromittiert wurde, keine Kundendaten speichert. LastPass sagt auch, dass seine Produktionsumgebung – ein Begriff für Server, die aktiv zur Handhabung und Verarbeitung von Benutzerinformationen verwendet werden – physisch von seiner Entwicklungsumgebung getrennt ist. Nach dieser Logik scheint es, dass der Eindringling möglicherweise Zugriff auf die Cloud-Produktionsumgebung von LastPass erlangt hat, obwohl LastPass in seiner ersten Post-Mortem-Erhebung im August sagte, dass es „keine Beweise“ für einen unbefugten Zugriff auf seine Produktionsumgebung gab. Auch das ist der Grund, warum wir fragen Sie nach Protokollen.
LastPass hat das Schlimmste angenommen rund 33 Millionen Kunden. GoTo hat 66 Millionen Kunden ab dem letzten Gewinn im Juni.
Warum hat GoTo seine Datenschutzverletzung ausgeblendet?
Wenn Sie dachten, der Blogbeitrag von LastPass sei wenig detailliert, war die Aussage der Muttergesellschaft GoTo genau das Richtige noch leichter. Merkwürdiger war, warum Sie, wenn Sie nach der Aussage von GoTo suchten, sie zunächst nicht finden würden. Das liegt daran, dass GoTo den „noindex“-Code im Blogbeitrag verwendet hat, um Suchmaschinen-Crawlern wie Google mitzuteilen, dass sie ihn überspringen und die Seite nicht als Teil seiner Suchergebnisse katalogisieren sollen, um sicherzustellen, dass niemand sie finden kann, es sei denn, Sie kennen ihre spezifische Webadresse.
Lydia Tsui, Direktorin des Krisenkommunikationsunternehmens Brunswick Group, das GoTo vertritt, sagte gegenüber Tech, GoTo habe den „noindex“-Code entfernt, der die Benachrichtigung über Datenschutzverletzungen von Suchmaschinen blockiert, lehnte es jedoch ab zu sagen, aus welchem Grund der Beitrag zunächst blockiert wurde .
Manche Geheimnisse werden wir vielleicht nie lösen.