LastPass Breach
Inhaltsverzeichnis
Problem: #
Am 22.12.2022 hat LastPass auf dem eigenen Blog bekannt gegeben, dass es einen Sicherheitsvorfall gab:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
Nachdem zuvor nur die Rede davon war, dass die Angreifer Zugriff auf Quellcode-Dateien des Passwort-Manager gehabt hätten, wurde damit das Ausmaß dieses Vorfalls klar.
Es wurden Backups der Produktivdaten des Unternehmens abgegriffen, d.h. die Passwort-Vaults der Kunden bzw. Sicherungskopien davon.
Leider hat sich mittlerweile auch herausgestellt, daß die Vaults nicht komplett verschlüsselt sind, sondern nur codiert, um die Übertragung über das Internet zu erleichtern. D.h. alle Daten mit Ausnahme der Passwörter sind einfach zu dekodieren und die verraten ja auch schon eine Menge.
Schlimmer noch: Scheinbar sind die Passwörter auch nicht immer so gut verschlüsselt, wie das Unternehmen das gerne dargestellen möchte.
In den Medien wurde der Vorfall nicht sonderlich erwähnt und in deutsch war da fast gar nichts zu finden,
inzwischen hat aber das BSI darauf hingewiesen und man findet einen lesenswerten Artikel darüber z.B. bei Golem:
https://www.golem.de/news/sicherheitsforscher-lastpass-wegen-pr-und-luegen-kritisiert-2212-170807.html
Ich habe durch den Podcast “Security Now” davon erfahren, den ich regelmäßig höre. Steve Gibson erklärt in Episode 904 https://twit.tv/shows/security-now/episodes/904?autostart=false und vor allem in Episode 905 https://www.grc.com/sn/sn-905-notes.pdf ziemlich detailliert, was da so alles schief gegangen ist.
Durch die schlechte Verschlüsselung gerade der älteren Password-Vaults scheint eine Entschlüsselung wenig aufwändig zu sein.
Wenn dann auch noch der Wert der zu entschlüsselnden Passwörter für die Angreifer in Betracht gezogen wird, ist das schlicht eine Katastrophe.
Lösung: #
Man kann nur jedem Benutzer von LastPass empfehlen, schnellstens auf eine andere Lösung umzusteigen.
Da man davon ausgehen kann, dass selbst der unverschlüsselte Anteil der Daten ausnutzbar ist und zudem die Passwörter potentiell nur schwach verschlüsselt sind,
sollten alle wichtigen Passwörter gewechselt werden.
Das gilt wohl auch für Benutzer, die den Password-Manager in den letzten Jahren verwendet haben, da LastPass keinerlei Angaben macht, welche Daten in den Backups waren.
Im oben erwähnten Podcast wird der Umstieg zu Bitwarden empfohlen.
Dieser Empfehlung würde ich nur folgen, wenn man die Software selbst auf einem eigenen Server hostet.
Sicherer ist meines Erachtens aber die Verwendung eines lokalen Password-Safes, dessen Daten nur lokal gespeichert werden und nicht in irgendwelche Clouds synchronisieren, die sich jeglicher Kontrolle entziehen.
Lessons learned: #
Ich selbst habe zum Glück noch nie einen Cloud-basierten Passwort-Manager verwendet, obwohl mich die Bequemlichkeit daran auch gereizt hat.
Natürlich ist das toll, alle Passwörter auf allen Geräten jederzeit aktuell zur Verfügung zu haben!
Aber der Zugang zu dieser Sammlung an Geheimnissen ist auch automatisch der Generalschlüssel für alle Zugänge.
Diese Daten möchte ich nie in fremde Hände geben.
Die Anbieter solcher Lösungen versprechen allesamt, daß sie selbst keinen Zugriff auf die Daten hätten, da ja alles gut verschlüsselt ist.
Nun hat uns LastPass das Gegenteil bewiesen und warum sollte das bei anderen Anbietern so viel besser sein?
Man macht sich von einem Unternehmen abhängig, daß nun mal Geld verdienen und evt. Shareholder zufriedenstellen muß, und irgendwann - so wie in diesem Fall - den Profit vor die Sicherheit stellt.
Der intransparente Umgang mit diesem Vorfall setzt dem Ganzen dann noch die Krone auf.
Bleibt zu hoffen, daß dieser Fall nicht dazu führt, daß Passwort-Manager generell verteufelt werden.
Immerhin stellen sie doch die beste Alternative zu unsicheren, auf vielen Seiten wiederverwendeten Passwörtern dar.
credits
Foto von Towfiqu barbhuiya auf Unsplash