LastPass sagt, Hacker hätten eine Kopie von Kundendaten, warnt vor Phishing-Angriffen

LastPass Password Manager, der es seinen Kunden ermöglicht, die Wiederverwendung von Passwörtern online zu reduzieren, indem er sie in einer einzigen App speichert, sagte, dass Hacker eine Kopie von Verbraucherdaten haben, einschließlich Namen, E-Mail-Adressen, Rechnungsadressen und Telefonnummern. Der CEO des Unternehmens sagt auch, dass die Daten verschlüsselt sind und der Angreifer versuchen kann, die Kopien der Daten zu entschlüsseln und auszuführen Phishing-Angriffe.
LastPass-CEO Karim Toubba sagt, dass sie bei einer Untersuchung herausgefunden haben, dass ein unbekannter Bedrohungsakteur im August 2022 auf eine Cloud-basierte Speicherumgebung zugegriffen hat. Damals gab das Unternehmen an, dass auf keine Kundendaten zugegriffen wurde, Hacker jedoch einige Quellcodes und technische Informationen gestohlen hatten verwendet, um einen anderen Mitarbeiter anzugreifen.
Hacker erhielten dann einige Anmeldeinformationen und Schlüssel, die „verwendet wurden, um auf einige Speichervolumes innerhalb des Cloud-basierten Speicherdienstes zuzugreifen und diese zu entschlüsseln“.

Welche Daten wurden kopiert?
Mit Hilfe des Cloud-Speicher-Zugriffsschlüssels und der Entschlüsselungsschlüssel des dualen Speichercontainers „kopierte der Angreifer Informationen aus einem Backup, das grundlegende Kundenkontoinformationen und zugehörige Metadaten enthielt, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefon Nummern und die IP-Adressen, von denen Kunden auf den LastPass-Dienst zugegriffen haben“, sagte der CEO in einem Blogbeitrag.
„Der Angreifer war auch in der Lage, eine Sicherungskopie der Kundentresordaten aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website enthält Benutzernamen und Passwörter, sichere Notizen und Formulardaten“, Toubba sagte.
Gemäß LastPass werden die verschlüsselten Daten mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der aus dem Master-Passwort jedes Benutzers abgeleitet wird.

Bedrohung durch Phishing-Angriffe
LastPass hat auch davor gewarnt, dass Hacker versuchen könnten, „Brute Force“ einzusetzen, um Zugang zu den verschlüsselten Kopien von Tresordaten zu erhalten, um das Master-Passwort zu erraten. „Der Angreifer kann Kunden auch mit Phishing-Angriffen, Credential Stuffing oder anderen Brute-Force-Angriffen auf Online-Konten ansprechen, die mit Ihrem LastPass-Vault verknüpft sind“, sagt Toubba.
LastPass erwähnt auch, dass sie keine Beweise dafür gefunden haben, dass auf unverschlüsselte Kreditkartendaten zugegriffen wurde.