LastPass gibt schweren Datenverstoß und gestohlene verschlüsselte Passwort-Tresore zu
[ad_1]
23. zwölfter Monat des Jahres 2022Ravie LakshmananPasswortverwaltung / Datenschutzverletzung
Die Sicherheitsverletzung von LastPass im August 2022 war unter Umständen schwerwiegender qua zuvor vom Unternehmen prominent gegeben.
Welcher beliebte Passwortverwaltungsdienst enthüllte am Mitte der Woche, dass böswillige Akteure eine Reichhaltigkeit persönlicher Informationen seiner Kunden erhalten nach sich ziehen, darunter ihre verschlüsselten Passworttresore, während sie Information aus dem Einbruch verwendet nach sich ziehen.
Ebenfalls gestohlen werden „grundlegende Kundenkontoinformationen und zugehörige Metadaten, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, Elektronischer Brief-Adressen, Telefonnummern und die IP-Adressen, von denen aus Kunden uff den LastPass-Tätigkeit zugegriffen nach sich ziehen“, sagte dies Unternehmen.
Welcher Zwischenfall vom August 2022, dieser Gegenstand einer laufenden Untersuchung ist, betraf die Täter, die oberhalb ein einziges kompromittiertes Mitarbeiterkonto uff Quellcode und proprietäre technische Informationen aus ihrer Entwicklungsumgebung zugegriffen nach sich ziehen.
LastPass sagte, dass dies dem nicht identifizierten Angreifer erlaubte, Anmeldeinformationen und Schlüssel zu erhalten, die anschließend genutzt wurden, um Informationen aus einem Reservekopie zu extrahieren, dies in einem Cloud-basierten Speicherdienst gespeichert ist, dieser betont wurde, dass er physisch von seiner Produktionsumgebung nicht angeschlossen ist.
Obendrein soll dieser Angreifer Kundentresordaten aus dem verschlüsselten Speicherdienst kopiert nach sich ziehen. Es wird in einem „proprietären Binärformat“ gespeichert, dies sowohl unverschlüsselte Information wie Website-URLs qua wiewohl vollwertig verschlüsselte Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten enthält.
Selbige Felder, so dies Unternehmen, seien mit einer 256-Bit-AES-Verschlüsselung geschützt und könnten nur mit einem Schlüssel entschlüsselt werden, dieser aus dem Master-Passwort des Benutzers uff den Geräten dieser Benutzer methodisch wird.
LastPass bestätigte, dass die Sicherheitslücke keinen Zugriff uff unverschlüsselte Kreditkartendaten beinhaltete, da sie Informationen nicht im Cloud-Speichercontainer archiviert wurden.
Dasjenige Unternehmen gab nicht prominent, wie gegenwärtig dies Reservekopie war, warnte jedoch davor, dass dieser Angreifer „versuchen könnte, Brute-Force einzusetzen, um Ihr Master-Passwort zu erraten und die Kopien dieser Tresordaten zu entschlüsseln, die er genommen hat“, sowie Kunden mit Social Engineering anzusprechen und Credential-Stuffing-Angriffe.
An dieser Stelle sei darauf hingewiesen, dass dieser Klopper dieser Brute-Force-Angriffe zur Vorhersage dieser Master-Passwörter umgekehrt verhältnisgleich zu ihrer Stärkemehl ist, dh je einfacher dies Passwort zu erraten ist, umso weniger Versuche sind erforderlich, um es zu knacken.
„Wenn Sie Ihr Master-Passwort wiederverwenden und dieses Passwort jemals kompromittiert wurde, kann ein Angreifer Dumps von kompromittierten Anmeldeinformationen verwenden, die schon im World Wide Web verfügbar sind, um zu versuchen, uff Ihr Konto zuzugreifen“, warnt LastPass.
Die Tatsache, dass Website-URLs im Klartext vorliegen, bedeutet, dass eine erfolgreiche Entschlüsselung des Master-Passworts den Angreifern verknüpfen Eindruck von den Websites vermitteln könnte, wohnhaft bei denen ein bestimmter Benutzer Konten unterhält, wodurch sie zusätzliche Phishing- oder Anmeldedatendiebstahl-Angriffe realisieren könnten.
Dasjenige Unternehmen sagte weiter, dass es eine kleine Untergruppe seiner Geschäftskunden – weniger qua 3 % – benachrichtigt habe, bestimmte nicht näher bezeichnete Maßnahmen basierend uff ihren Kontokonfigurationen zu ergreifen.
Die Fortentwicklung erfolgt Tage, nachdem Okta bewiesen hat, dass Angreifer unbefugten Zugriff uff seine uff GitHub gehosteten Repositories dieser Workforce Identity Cloud (WIC) erhalten und den Quellcode kopiert nach sich ziehen.
[ad_2]