LastPass meldet zweite Datenschutzverletzung in drei Monaten

Ein Angreifer, dieser diesen August in die Softwareentwicklungsumgebung von LastPass eingedrungen ist und Quellcode und andere proprietäre Datenmaterial des Unternehmens gestohlen hat, scheint die Passwortverwaltungsfirma erneut angegriffen zu nach sich ziehen.

Am Mittwoch gab LastPass namhaft, dass es vereinen kürzlichen Zwischenfall untersucht, c/o dem es jemandem gelang, mithilfe von Informationen, die während des Einbruchs im August erhalten wurden, hinauf Quellcode und nicht näher bezeichnete Kundendaten zuzugreifen, die in einem unbenannten Cloud-Speicherdienst eines Drittanbieters gespeichert sind. LastPass gab nicht namhaft, hinauf welche Stil von Kundendaten dieser Angreifer unter Umständen zugegriffen hatte, behauptete jedoch, dass seine Produkte und Dienste voll heile blieben.

Ungewöhnliche Umtrieb

„Wir nach sich ziehen kürzlich ungewöhnliche Aktivitäten intrinsisch eines Cloud-Speicherdienstes eines Drittanbieters festgestellt, dieser derzeit sowohl von LastPass denn beiläufig von seinem Tochterunternehmen GoTo geteilt wird“, sagte LastPass. „Wir nach sich ziehen sofort eine Untersuchung eingeleitet, Mandiant, eine führende Sicherheitsfirma, betraut und die Strafverfolgungsbehörden alarmiert.“

Die Äußerung von LastPass stimmte mit einer von GoTo überein, ebenfalls am Mittwoch, die sich hinauf virtuell die gleiche ungewöhnliche Umtrieb intrinsisch des Cloud-Speicherdienstes eines Drittanbieters bezog. Darüber hinaus beschrieb die Erläuterung von GoTo die Umtrieb denn Auswirkungen hinauf die Entwicklungsumgebung, enthielt jedoch keine weiteren Einzelheiten. Wie LastPass sagte GoTo, dass seine Videokonferenz- und Kollaborationsdienste während dieser Untersuchung des Vorfalls voll heile blieben.

Es ist unklar, ob die offensichtliche Verletzung dieser Entwicklungsumgebung von GoTo in jemand Weise mit dem Einbruch c/o LastPass im August zusammenhängt oder ob die beiden Vorfälle völlig unangeschlossen sind. Beiderlei Unternehmen lehnten es ab, eine Dark Reading-Frage zu beantworten, ob die beiden Vorfälle zusammenhängen könnten.

Die neue Sicherheitslücke c/o LastPass deutet darauf hin, dass Angreifer im August unter Umständen hinauf mehr Datenmaterial des Unternehmens zugegriffen nach sich ziehen denn bisher erfunden. LastPass hat zuvor festgestellt, dass dieser Eindringling im August Zugang zu seiner Entwicklungsumgebung erlangte, während er die Anmeldeinformationen eines Softwareentwicklers stahl und sich denn ebendiese Person ausgab. Dies Unternehmen hat seitdem behauptet, dass dieser Angreifer aufgrund des Designs seines Systems und dieser vorhandenen Kontrollen keinen Zugriff hinauf Kundendaten oder verschlüsselte Passwort-Tresore erhalten habe.

Waren die Sicherheitskontrollen von LastPass stark genug?

Ebendiese Kontrollen zusammenfassen eine vollständige physische und Netzwerktrennung dieser Entwicklungsumgebung von dieser Produktionsumgebung und die Sicherung, dass die Entwicklungsumgebung keine Kundendaten oder verschlüsselten Tresore enthält. LastPass hat beiläufig darauf hingewiesen, dass es keinen Zugriff hinauf die Master-Passwörter zum Besten von Kundentresore hat, wodurch sichergestellt wird, dass nur dieser Neuigkeiten darauf zupacken kann.

Michael White, technischer Rektor und Hauptarchitekt dieser Synopsys Software Integrity Group, sagt, dass die Realität von LastPass, Kreation und Test zu trennen und sicherzustellen, dass keine Kundendaten in Kreation/Test verwendet werden, sicherlich gute Praktiken sind und den Empfehlungen gleichkommen.

Die Tatsache, dass es einem Angreifer gelang, sich Zugang zu seiner Entwicklungsumgebung zu verschaffen, bedeutet jedoch, dass er potenziell viel Schaden servieren konnte.

„Die kurze Lösung ist, dass wir es trivial nicht wissen können, basierend hinauf dem, welches publik gesagt wurde“, sagt White. „Wenn die betroffenen Entwicklungssysteme jedoch Zugriff hinauf gängige interne Tools nach sich ziehen, die zum Besten von dasjenige Erstellen und Publizieren von Software verwendet werden – zum Musterbeispiel Quellcode-Repositories, Build-Systeme oder binäre Artefaktspeicher –, könnte dies einem Überfall geben, eine heimliche Hintertür in die Source.”

Die bloße Tatsache, dass LastPass Kreation und Test von seiner Produktionsumgebung unangeschlossen nach sich ziehen könnte, ist demgemäß keine ausreichende Garantievertrag hierfür, dass Kunden vollwertig geschützt waren, sagt er.

LastPass selbst hat nur bestätigt, dass dieser Bedrohungsakteur hinter dieser Verletzung im August hinauf seinen Quellcode und anderes geistiges Eigentum zugegriffen hat. Nichtsdestoweniger es ist unklar, ob dieser Schauspieler unter Umständen beiläufig anderen Schaden angerichtet hat, sagen Forscher zu Dark Reading.

Joshua Crumbaugh, Vorstandsvorsitzender von PhishFirewall, sagt, dass Entwicklungsumgebungen in dieser Regel leichte Ziele zum Besten von Bedrohungsakteure darstellen, um bösartigen Source einzuschleusen, ohne entdeckt zu werden. „Dieser bösartige Source ist wie dasjenige Finden einer Nadel, von dieser man nicht weiß, dass man sie in einem Heuschober suchen muss“, sagt er.

Entwicklungsumgebungen sind beiläufig hierfür namhaft, dass sie hartcodierte Anmeldeinformationen und eine unsichere Speicherung von API-Schlüsseln, Benutzeranmeldeinformationen und anderen sensiblen Informationen nach sich ziehen. „Unsrige Wissenschaft zeigt kontinuierlich, dass Entwicklungsteams in den meisten Unternehmen zu den am wenigsten sicherheitsbewussten Abteilungen in Besitz sein von“, sagt Crumbaugh. Er fügt hinzu, dass die Fortsetzung dieser Verletzung von LastPass darauf hindeutet, dass sie die Aktionen dieser Angreifer nachher dieser ersten Verletzung nicht vollwertig nachverfolgt nach sich ziehen.