?>
LastPass-Hack und die Folgen
Author
Maren Keller, Fr, 15. Sep. 2023
 in IT-Sicherheit

LastPass-Hack und die Folgen

Masterpasswörter scheinbar von Hackern entschlüsselt

Passwortmanager sind eine gute Sache, denn sie dienen der Passwortsicherheit. Wenn Hacker allerdings Zugriff auf Passworttresore bekommen, kann das üble Folgen haben, wie jetzt beim LastPass-Hack aus dem vergangenen Jahr.

Hackern sind nämlich augenscheinlich in der Lage, die Masterpasswörter zu knacken – mit schwerwiegenden Folgen.

Passwortmanager LastPass gehackt

Im Dezember 2022 wurde bekannt, dass der beliebte Passwortmanager LastPass gehackt worden war. Da die Passworttresore aber mit einem komplexen Masterpasswort gesichert sind, schien die Gefahr für Nutzer zunächst überschaubar.

Laut LastPass mussten Kunden nicht einmal das Masterpasswort ändern, denn es sei äußerst schwierig, die Masterpasswörter mit Brute-Force-Attacken zu erraten. Wenn man sich an die Empfehlungen des Anbieters halte, wie das Masterpasswort zu erstellen sei, dauere es laut LastPass „Millionen von Jahren“ bis ein Masterpasswort geknackt  werde.

Doch jetzt, neun Monate nach dem LastPass-Hack sieht die Sache anders aus: Laut KrebsonSecurity ist es den Hackern gelungen, selbst komplizierteste Masterpasswörter zu knacken. Zwar waren diese per 256-Bit-AES verschlüsselt, konnten aber durch den Online-Zugriff per Brute Force gewissermaßen mit roher Gewalt erraten werden.

LastPass-Hack: Maskierter Hacker mit PC, der im Dunkeln auf der Couch sitzt und große Daten stiehlt. Bild: ©Prostock-studio/stock.adobe.com

Mit roher Gewalt können die Hacker die Daten aus dem LastPass-Hack entschlüsseln. Bild: ©Prostock-studio/stock.adobe.com

Masterpasswörter entschlüsselt

Das große Problem: In vielen Fällen lag im LastPass-Tresor ein privater Schlüssel für Krypto-Wallets, die sogenannte „Seed Phrase“. Wer Zugriff auf diese Seed Phrase hat, kann auch auf die Krypto-Besitztümer zugreifen und ins eigenen Portemonnaie verschieben. Durch den LastPass-Hack und die Entschlüsselung von Masterpasswörtern konnten die Cyberkriminellen laut KrebsonSecurity bereits mehr als 35 Millionen US-Dollar in verschiedenen Kryptowährungen stehlen.

Übrigens sind nicht nur private Nutzer vom LastPass-Hack betroffen. Auch Firmenkunden sind zum Opfer geworden. Und zwar diejenigen, die den sogenannten Federated Login einsetzen. In dem Fall besteht das „Hidden Master Password“ aus den zwei Komponenten K1 und K2, wobei K1 für alle Mitarbeiter zugänglich ist. Mittlerweile musste LastPass eingestehen, dass die Angreifer K2 erbeuten konnten. Kompromittieren die Angreifer einen Mitarbeiter-Account, kann er auf sämtliche LastPass-Daten der entsprechenden Firma zugreifen.

LastPass-Hack: Was war passiert?

Was war eigentlich die Ursache des LastPass-Hack? Bereits im August 2022 gab es die ersten Informationen, dass Angreifer den Quellcode von LastPass-Servern kopieren konnten. LastPass versicherte zu dem Zeitpunkt allerdings, dass es keine Zugriffe auf Kundendaten gegeben habe. Im September 2022 wurde klar, dass die Angreifer insgesamt vier Tage lang Zugriff auf die LastPass-Systeme hatten. Im Dezember 2022 kam dann raus, dass die Kriminellen nicht nur Kundendaten einsehen konnten, sondern auch die Kennworttresore der Kunden.

Im Nachhinein musste LastPass zwei Sicherheitsvorfälle melden: Beim ersten Angriff haben sich die Kriminellen über eine Sicherheitslücke auf dem Firmenlaptop eines Software-Technikers Zugriff auf eine cloudbasierte Entwicklungsumgebung verschafft. Dort haben Sie Quellcode, technische Informationen und bestimmte interne LastPass-Systemgeheimnisse gestohlen.

Diese gestohlenen Daten ermöglichten dann den zweiten Angriff, bei dem die Hacker auf einen leitenden DevOps-Techniker abzielten und Schwachstellen in einer Drittanbieter-Software ausnutzen. Die Angreifer schleusten Malware ein, umgingen vorhandene Kontrollen und verschafften sich Zugriff auf Cloud-Backups. Dabei fischten Sie Informationen über Systemkonfigurationsdaten, API-Schlüssel, Schlüssel für Drittanbieter-Integrationen sowie verschlüsselte und unverschlüsselte LastPass-Kundendaten ab.

LastPass-Hack: Person am Laptop mit Handy. Cybersicherheit durch Verifizierung in zwei Schritten. Bild: ©THAWEERAT/stock.adobe.com

Auf die Zwei-Faktor-Authentifizierung sollten Sie bei keinem Online-Zugang verzichten. Bild: ©THAWEERAT/stock.adobe.com

Sind Passwörter noch sicher?

Zwar werden die Passwörter in Passwortmanagern nicht im Klartext, sondern verschlüsselt gespeichert. Doch wenn, wie jetzt geschehen, Angreifer eine Sicherungskopie der verschlüsselten Passwort-Tresore der Nutzer abgreifen können, ist es nur eine Frage der Zeit, bis Passwörter entschlüsselt werden können. Problem: Passwort-Tresore sind Datenbanken, die sämtliche in LastPass hinterlegten Passwörter enthalten.

Zwar macht man es den Hackern so schwer wie möglich, auf Passwörter zuzugreifen, indem eine kryptografische Hashfunktion plus Salt (zufällige Zeichenkette, die zum Schutz vor Angriffen auf Passwörter genutzt wird) zum Einsatz kommt, die mehrmals angewendet wird. Zum Schutz der Passwörter setzt LastPass zudem die Password-Based Derivation Function 2 (PBKDF2) ein und setzt bei der Verwendung standardmäßig auf 100.100 PBKDF2-Wiederholungen.

Um wirklich sicher zu sein, empfiehlt das Open Web Application Security Project (OWASP) allerdings  600.000 Wiederholungen. Zwar folge LastPass dieser Empfehlung mittlerweile, allerdings nur bei neu angelegten Accounts. Bestandskunden gucken hier in die Röhre.

Was tun nach LastPass-Hack?

Der LastPass-Hack zeigt, wie schwerwiegend Sicherheitsvorfälle sein können, die einen Passwortmanager betreffen. Wenn Sie potenziell zum Opfer geworden sind und Ihre Daten gehackt werden konnte, sollten Sie jetzt schleunigst handeln. Folgende Tipps können wir Ihnen geben:

  • Ändern Sie Ihre Passwörter, die LastPass gespeichert sind.
  • Ändern Sie Ihr Masterpasswort und verwenden Sie eins, das den Hersteller-Vorgaben entspricht: Verwenden Sie mindestens 12 Zeichen, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Aktivieren Sie unbedingt die Zwei-Faktor-Authentifizierung (2FA), um eine zusätzliche Sicherheitsebene hinzuzufügen.
  • Einen zusätzlichen Schutz erreichen sie, wenn Sie all Ihre Online-Konten mit 2FA schützen – sowohl privat genutzte Konten als auch beruflich genutzte Accounts.
  • Aktualisieren Sie Ihre Passwörter regelmäßig. Um komplexe Passwörter zu erreichen, nutzen Sie die entsprechende Funktion in ihrem in Passwortmanager.
  • Nach einem Passwort-Diebstahl drohen erfahrungsgemäß Phishing-Angriffe. Seien Sie wachsam, wenn Sie E-Mails von Unbekannten erhalten, die Druck ausüben und einen Login zu einer Plattform einfordern. Da auch Betriebe vom LastPass-Hack betroffen sind, droht der BEC-Betrug.
  • Damit Ihre Mitarbeiter über die neuesten Sicherheitsbedrohungen und -praktiken aufgeklärt sind, lohnt es sich, regelmäßig Sicherheitsschulungen anzubieten.

Wer nach dem LastPass-Hack allerdings kein Vertrauen mehr zu diesem Passwortmanager hat, sollte sich für eine andere Software entscheiden. Unsere IT-Experten von PC-SPEZIALIST in Ihrer Nähe beraten Sie gern und helfen Ihnen beim Umzug auf neue Software. Nehmen Sie gern Kontakt zu uns auf und lassen Sie sich beraten.

_______________________________________________

Quellen: connect living, krebsonsecurity, heise, golem, lastpass, Pexels/cottonbro studio (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren