Wie kam es zum LastPass-Datenleck und wie lässt es sich vermeiden?

Das LastPass-Datenleck von 2022-2023 ist eine eindringliche Erinnerung daran, wie sich komplexe Cyberangriffe zu langfristigen Sicherheitskatastrophen entwickeln können. Diese umfassende Analyse schlüsselt den Vorfall, seine Auswirkungen und die wichtigsten Lektionen für Unternehmen auf, die ihre Sicherheitslage stärken möchten.

Die Auswirkungen: In Zahlen#

Die Folgen des Datenlecks waren schwerwiegend und lang anhaltend:

• 33 Millionen betroffene Nutzer
• 4,4 Millionen US-Dollar von mehr als 25 Opfern gestohlen
• Berichten zufolge 5 Millionen US-Dollar in einer einzigen Woche gestohlen
• 15 Millionen US-Dollar in Kryptowährungen gestohlen

Wichtige Erkenntnisse#

• Ein einziges kompromittiertes Entwicklerkonto führte zu einem Datenleck, das 33 Millionen LastPass-Nutzer betraf.
• Angreifer verschafften sich Zugang zu verschlüsselten Passwort-Tresoren und Kundeninformationen.
• Über 15 Millionen US-Dollar wurden bei Krypto-Diebstählen gestohlen, die mit diesem Leck in Verbindung stehen.
• Der Vorfall machte kritische Schwachstellen bei der Sicherheit von Remote-Arbeit und der Reaktion auf Vorfälle deutlich.

Erste Kompromittierung – August 2022#

Der Vorfall begann, als Angreifer über ein einziges kompromittiertes Entwicklerkonto unbefugten Zugriff auf die Entwicklungsumgebung von LastPass erlangten. In dieser Phase erbeuteten die Angreifer:

• Teile des LastPass-Quellcodes
• Proprietäre technische Informationen
• Zugang zu Ressourcen der Entwicklungsumgebung

Eskalation – November/Dezember 2022#

Was zunächst eingedämmt schien, eskalierte schnell, als die Angreifer die gestohlenen Informationen nutzten, um:

• Auf den Cloud-Speicherdienst eines Drittanbieters von LastPass zuzugreifen
• Backup-Kopien von Kunden-Tresordaten zu beschaffen
• Unverschlüsselte Kundenkontoinformationen zu kompromittieren

Kritische Entwicklung – März 2023#

In einem aufschlussreichen Update gab LastPass bekannt, dass die Angreifer:

• Den Heimcomputer eines leitenden DevOps-Ingenieurs kompromittiert hatten
• Eine Schwachstelle in der Mediensoftware eines Drittanbieters ausgenutzt hatten
• Eine Keylogger-Malware eingesetzt hatten, um Master-Passwörter abzufangen
• Zugang zu kritischen Entschlüsselungsschlüsseln erlangt hatten

Welche Daten wurden kompromittiert?#

Kundeninformationen#

• Firmennamen
• Namen der Endnutzer
• Rechnungsadressen
• E-Mail-Adressen
• Telefonnummern
• IP-Adressen

Technische Daten#

• Backups der Kunden-Tresore
• DevOps-Secrets
• Cloud-basierter Backup-Speicher
• Backups der MFA/Federation-Datenbank

Wichtige Sicherheitslektionen für Unternehmen#

1. Robuste Netzwerksegmentierung implementieren#

• Kritische Systeme und Daten trennen
• Sicherheitszonen mit unterschiedlichen Zugriffsrechten erstellen
• Strenge Zugriffskontrollen zwischen den Segmenten implementieren
• Den Datenverkehr zwischen den Netzwerksegmenten überwachen

2. Sicherheit für Remote-Arbeit stärken#

• Klare Richtlinien für Home-Office-Geräte festlegen
• Die Installation privater Software auf Arbeitsgeräten einschränken
• Einen robusten Endgeräteschutz implementieren
• Regelmäßige Sicherheitsüberprüfungen des Remote-Work-Setups durchführen

3. Reaktion auf Vorfälle und Kommunikation verbessern#

• Klare Verfahren zur Reaktion auf Vorfälle (Incident Response) entwickeln
• Transparente Kommunikation mit Stakeholdern pflegen
• Sicherheitsvorfälle zeitnah dokumentieren und aktualisieren
• Regelmäßige Updates während laufender Vorfälle bereitstellen

4. Erweitertes Passwort- und Zugriffsmanagement#

• Multi-Faktor-Authentifizierung (MFA) über alle Systeme hinweg implementieren
• Starke, einzigartige Passwörter für jedes Konto verlangen
• Regelmäßige Passwortrotation und Sicherheitsüberprüfungen durchführen
• Passwort-Manager mit robusten Sicherheitsfunktionen verwenden

Präventivmaßnahmen für Unternehmen#

1. Technische Kontrollen#

• Zero-Trust-Architektur implementieren
• Erweiterten Endgeräteschutz einsetzen
• Regelmäßige Sicherheitsbewertungen und Penetrationstests
• Kontinuierliche Überwachung und Protokollierung

2. Administrative Kontrollen#

• Regelmäßige Sicherheitsschulungen für Mitarbeiter
• Klare Sicherheitsrichtlinien und -verfahren
• Risikomanagement für Anbieter (Vendor Risk Management)
• Planung der Reaktion auf Vorfälle

Fazit#

Das LastPass-Datenleck ist eine entscheidende Lektion über die Bedeutung umfassender Sicherheitsmaßnahmen und einer angemessenen Reaktion auf Vorfälle. Unternehmen müssen einen proaktiven Sicherheitsansatz verfolgen, mehrere Schutzebenen implementieren und sich gleichzeitig auf potenzielle Sicherheitsverletzungen vorbereiten. Indem sie aus diesem Vorfall lernen, können Unternehmen ihre Vermögenswerte besser schützen und das Vertrauen ihrer Kunden wahren.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Wie konnten Angreifer beim LastPass-Datenleck von einem Entwicklerkonto auf Kunden-Tresore zugreifen?#

Angreifer nutzten Quellcode und technische Informationen, die im August 2022 aus der Entwicklungsumgebung von LastPass gestohlen wurden, um auf einen Cloud-Speicherdienst eines Drittanbieters zuzugreifen, der Backups von Kunden-Tresoren enthielt. Diese mehrstufige Eskalation zog sich über mehrere Monate hin, bevor das volle Ausmaß Anfang 2023 offengelegt wurde.

Warum galten die verschlüsselten LastPass-Tresore nach dem Datenleck weiterhin als gefährdet?#

Die Angreifer erbeuteten nicht nur die verschlüsselten Tresor-Backups, sondern entscheidenderweise auch die Entschlüsselungsschlüssel, indem sie einen Keylogger auf dem Heimcomputer eines leitenden DevOps-Ingenieurs installierten. Da neben den Entschlüsselungsschlüsseln auch Master-Passwörter abgefangen wurden, reichte die Verschlüsselung allein nicht mehr aus, um die Kundendaten vollständig zu schützen.

Welche Sicherheitsmängel bei der Remote-Arbeit haben das LastPass-Datenleck verschlimmert?#

Der private Heimcomputer eines leitenden DevOps-Ingenieurs wurde über eine Schwachstelle in einer Mediensoftware eines Drittanbieters kompromittiert – ein Risiko, das durch robuste Richtlinien zum Endgeräteschutz für Remote-Arbeitsgeräte eigentlich verhindert werden soll. Die Einschränkung privater Softwareinstallationen und die Durchsetzung von Sicherheitsüberprüfungen von Home-Office-Setups sind wichtige Gegenmaßnahmen.

Welche spezifischen Arten von Daten wurden beim LastPass-Datenleck 2022-2023 offengelegt?#

Die offengelegten Daten umfassten zwei Kategorien: Kundeninformationen wie Namen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen sowie technische Daten, darunter Backups von Kunden-Tresoren, DevOps-Secrets, Cloud-basierte Backup-Speicher und MFA/Federation-Datenbank-Backups. Diese Kombination aus persönlichen und infrastrukturellen Daten machte das Leck besonders verheerend.