LastPass ist ein beliebter Passwort-Manager, der mehr als seinen fairen Anteil an Datenschutzverletzungen erlitten hat. Jetzt sind Informationen über die neueste LastPass-Datenpanne ans Licht gekommen, die hier von unserem eigenen John Durso im Dezember gemeldet wurde: LastPass-Hacker erhält Tresordaten
Anscheinend wurde der PC eines Mitarbeiters, der von zu Hause aus arbeitet, über a Schwachstelle in einem Mediaplayer eines Drittanbieters, der ausgenutzt wurde, um einen Keylogger einzusetzen. Sobald der Keylogger eingesetzt war, war es nur eine Frage der Zeit, bis sich der Mitarbeiter mit seinen offiziellen Zugangsdaten anmeldete und, Bingo … der Hacker hatte alles, was er/sie brauchte, um auf den Unternehmenstresor des Mitarbeiters zuzugreifen. Das Folgende ist ein Auszug aus dem LastPass-Bericht:
Der Angreifer zielte auf den Remote-PC eines leitenden DevOps-Ingenieurs ab, indem er anfällige Software von Drittanbietern ausnutzte. Der Bedrohungsakteur nutzte die Schwachstelle, um Malware zu verbreiten, bestehende Kontrollen zu umgehen und sich schließlich unbefugten Zugriff auf Cloud-Backups zu verschaffen. Zu den Daten, auf die von diesen Backups zugegriffen wurde, gehörten Systemkonfigurationsdaten, API-Geheimnisse, Integrationsgeheimnisse von Drittanbietern sowie verschlüsselte und unverschlüsselte LastPass-Kundendaten ~ <Quelle>
Wie ich schon oft wiederholt habe, erfordert die meiste Malware, um erfolgreich ausgeliefert zu werden, eine Art unbeabsichtigte Aktion seitens des Benutzers, und in Unternehmensumgebungen sind mehrere beteiligt vernetzten Computern, die von mehreren Benutzern betrieben werden, ist dieses Risiko ohne Ende erhöht. Obwohl der LastPass-Tresor nicht direkt verletzt wurde, ist es bemerkenswert zu glauben, dass Remote-Mitarbeiter nicht besser geschult sind, um diese Art von Datenschutzverletzungen durch Dritte zu vermeiden. Tatsächlich ist es unvorstellbar, dass ein Arbeits-PC, einschließlich hochsensibler Materialien, nicht vollständig getrennt von den persönlichen Anforderungen des Mitarbeiters gewartet wird.
LastPass hat erklärt, dass es derzeit dabei ist, die DevOps zu härten Heimnetzwerksicherheit des Ingenieurs. Während dies sicherlich ein Schritt in die richtige Richtung ist, sollte diese Art von Mitarbeitern, die von zu Hause aus mit sensiblen Informationen arbeiten, sicherlich angewiesen werden, zwei völlig separate PCs zu unterhalten – einen NUR für Arbeitsanforderungen und einen für den persönlichen Gebrauch.
Was LastPass-Benutzer tun müssen
Wenn Sie ein LastPass-Benutzer sind und bereits Abhilfemaßnahmen gemäß LastPass-Bulletin, ihr seid alle gut. Wenn Sie dies jedoch erst jetzt herausfinden, müssen Sie den Rat von John Durso aus seinem früheren Artikel befolgen:
Ändern Sie das LastPass-Master-Passwort (E-Mail, Finanzinstitute, Kreditkarten usw.)
Bleiben Sie sicher da draußen.
—