Ein Angreifer, der diesen August in die Softwareentwicklungsumgebung von LastPass eingedrungen ist und Quellcode und andere proprietäre Daten des Unternehmens gestohlen hat, scheint die Passwortverwaltungsfirma erneut angegriffen zu haben.
Am Mittwoch gab LastPass bekannt, dass es einen kürzlichen Vorfall untersucht, bei dem es jemandem gelang, mithilfe von Informationen, die während des Einbruchs im August erhalten wurden, auf Quellcode und nicht näher bezeichnete Kundendaten zuzugreifen, die in einem unbenannten Cloud-Speicherdienst eines Drittanbieters gespeichert sind. LastPass gab nicht bekannt, auf welche Art von Kundendaten der Angreifer möglicherweise zugegriffen hatte, behauptete jedoch, dass seine Produkte und Dienste voll funktionsfähig blieben.
Ungewöhnliche Aktivität
„Wir haben kürzlich ungewöhnliche Aktivitäten in einem Cloud-Speicherdienst eines Drittanbieters festgestellt, der derzeit sowohl von LastPass als auch von seinem Tochterunternehmen GoTo genutzt wird.“ Sagte LastPass. „Wir leiteten sofort eine Untersuchung ein, engagierten Mandiant, eine führende Sicherheitsfirma, und alarmierten die Strafverfolgungsbehörden.“
Die Aussage von LastPass stimmte mit einer von GoTo überein, ebenfalls am Mittwoch, die sich auf das bezog, was anscheinend der war dieselbe ungewöhnliche Aktivität innerhalb des Cloud-Speicherdienstes eines Drittanbieters. Darüber hinaus beschrieb die Erklärung von GoTo die Aktivität als Auswirkungen auf die Entwicklungsumgebung, enthielt jedoch keine weiteren Details. Wie LastPass sagte GoTo, dass seine Videokonferenz- und Kollaborationsdienste während der Untersuchung des Vorfalls voll funktionsfähig blieben.
Es ist unklar, ob die offensichtliche Verletzung der Entwicklungsumgebung von GoTo in irgendeiner Weise mit dem Einbruch bei LastPass im August zusammenhängt oder ob die beiden Vorfälle völlig getrennt sind. Beide Unternehmen lehnten es ab, eine Dark Reading-Frage zu beantworten, ob die beiden Vorfälle zusammenhängen könnten.
Die neue Sicherheitslücke bei LastPass deutet darauf hin, dass Angreifer hat möglicherweise im August auf weitere Daten des Unternehmens zugegriffen als bisher gedacht. LastPass hat zuvor festgestellt, dass der Eindringling im August Zugang zu seiner Entwicklungsumgebung erlangte, indem er die Anmeldeinformationen eines Softwareentwicklers stahl und sich als diese Person ausgab. Das Unternehmen hat seitdem behauptet, dass der Angreifer aufgrund des Designs seines Systems und der vorhandenen Kontrollen keinen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore erhalten habe.
Waren die Sicherheitskontrollen von LastPass stark genug?
Diese Kontrollen umfassen eine vollständige physische und Netzwerktrennung der Entwicklungsumgebung von der Produktionsumgebung und die Sicherstellung, dass die Entwicklungsumgebung keine Kundendaten oder verschlüsselten Tresore enthält. LastPass hat auch darauf hingewiesen, dass es keinen Zugriff auf die Master-Passwörter für Kundentresore hat, wodurch sichergestellt wird, dass nur der Kunde darauf zugreifen kann.
Michael White, technischer Direktor und Hauptarchitekt der Synopsys Software Integrity Group, sagt, dass die Praxis von LastPass, Entwicklung und Test zu trennen und sicherzustellen, dass keine Kundendaten in Entwicklung/Test verwendet werden, sicherlich gute Praktiken sind und den Empfehlungen entsprechen.
Die Tatsache, dass es einem Angreifer gelang, sich Zugang zu seiner Entwicklungsumgebung zu verschaffen, bedeutet jedoch, dass er potenziell viel Schaden anrichten konnte.
„Die kurze Antwort ist, dass wir es einfach nicht wissen können, basierend auf dem, was öffentlich gesagt wurde“, sagt White. „Wenn die betroffenen Entwicklungssysteme jedoch Zugriff auf gängige interne Tools haben, die für das Erstellen und Freigeben von Software verwendet werden – zum Beispiel Quellcode-Repositories, Build-Systeme oder binäre Artefaktspeicher –, könnte dies einem Angriff ermöglichen, eine heimliche Hintertür in die Code."
Die bloße Tatsache, dass LastPass Entwicklung und Test von seiner Produktionsumgebung getrennt haben könnte, ist also keine ausreichende Garantie dafür, dass Kunden vollständig geschützt waren, sagt er.
LastPass selbst hat nur bestätigt, dass der Bedrohungsakteur hinter der Verletzung im August auf seinen Quellcode und anderes geistiges Eigentum zugegriffen hat. Aber es ist unklar, ob der Schauspieler möglicherweise auch anderen Schaden angerichtet hat, sagen Forscher zu Dark Reading.
Joshua Crumbaugh, CEO von PhishFirewall, sagt, dass Entwicklungsumgebungen in der Regel leichte Ziele für Bedrohungsakteure darstellen, um bösartigen Code einzuschleusen, ohne entdeckt zu werden. „Dieser bösartige Code ist wie das Finden einer Nadel, von der man nicht weiß, dass man sie in einem Heuhaufen suchen muss“, sagt er.
Entwicklungsumgebungen sind auch dafür bekannt, dass sie hartcodierte Anmeldeinformationen und eine unsichere Speicherung von API-Schlüsseln, Benutzeranmeldeinformationen und anderen sensiblen Informationen haben. „Unsere Untersuchungen zeigen kontinuierlich, dass Entwicklungsteams in den meisten Unternehmen zu den am wenigsten sicherheitsbewussten Abteilungen gehören“, sagt Crumbaugh. Er fügt hinzu, dass die Fortsetzung der Verletzung von LastPass darauf hindeutet, dass sie die Aktionen der Angreifer nach der ersten Verletzung nicht vollständig nachverfolgt haben.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.Mehr Info
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/lastpass-discloses-second-breach-in-three-months
