Für unsere LastPass-Kunden:
Ich möchte Ihnen wichtige Neuigkeiten zu dem Sicherheitsvorfall mitteilen, den wir am 22. Dezember 2022 gemeldet haben. Unsere umfassenden Untersuchungen sind nun abgeschlossen und wir haben seit dem 26. Oktober 2022 keine weiteren suspekten Aktivitäten festgestellt.
Im Laufe dieser Untersuchungen kamen weitere Einzelheiten zu den Geschehnissen zum Vorschein. Diese neuen Erkenntnisse möchten wir heute mit Ihnen teilen. Im gleichen Zeitraum haben wir viel Zeit und Mühe investiert, um die Sicherheit zu stärken und gleichzeitig unsere Sicherheitsvorkehrungen insgesamt zu verbessern. Im heutigen Update möchte ich diese Vorkehrungen im Detail beleuchten und erläutern, welche zusätzlichen Schritte wir zur Erhöhung der Sicherheit unternehmen.
Dieses Update befasst sich mit folgenden Fragen und Themen:
- Was war vorgefallen und welche Maßnahmen haben wir ergriffen?
- Auf welche Daten wurde zugegriffen?
- Welche Maßnahmen sollten Sie ergreifen, um sich selbst oder Ihr Unternehmen zu schützen?
- Diese Maßnahmen haben wir zum Schutz von LastPass ergriffen
- Was Sie von uns erwarten können
- Entwicklungsumgebung wurde entfernt und neu erstellt, um eine vollständige Eindämmung und Ausmerzung zu gewährleisten.
- Bereitstellung zusätzlicher Sicherheitstechnologien und -kontrollen zur Ergänzung bestehender Kontrollen.
- Alle relevanten von unseren Teams verwendeten Klartextschlüssel sowie evtl. preisgegebene Zertifikate wurden rotiert.
- Analyse der cloudbasierten Speicherressourcen von LastPass und Anwendung zusätzlicher Richtlinien und Kontrollen.
- Analyse und Anpassung bestehender Kontrollen für privilegierten Zugriff.
- Rotation relevanter Schlüssel und Zertifikate, auf die der Angreifer zugegriffen hatte.
- On-Demand-, cloudbasierte Entwicklungs- und Quellcode-Repositories – darunter 14 von 200 Software-Repositorys.
- Interne Skripte aus den Repositories – diese enthielten LastPass-Schlüssel und Zertifikate.
- Interne Dokumentation – technische Informationen mit Beschreibungen der Entwicklungsumgebung.
- DevOps-Schlüssel – vertrauliche Schlüssel, die verwendet wurden, um Zugriff auf cloudbasierten Sicherungsspeicher zu erhalten.
- Cloudbasierter Sicherungsspeicher – enthielt Konfigurationsdaten, API-Schlüssel, Schlüssel für Drittanbieter-Integrationen, Kundenmetadaten und Sicherungen aller Kunden-Vault-Daten. Alle sensiblen Kunden-Vault-Daten außer URLs, Dateipfade zu installierter LastPass Windows- oder macOS-Software und bestimmte Anwendungsfälle mit E-Mail-Adressen, wurden nach dem Zero-Knowledge-Prinzip verschlüsselt und können nur mit einem eindeutigen Verschlüsselungsschlüssel aus dem Master-Passwort jedes Benutzers entschlüsselt werden. Zur Erinnerung: Die Master-Passwörter der Endbenutzer sind LastPass nie bekannt und werden von LastPass nicht gespeichert oder gepflegt – daher waren sie auch nicht von der Datenexfiltration betroffen.
- Backup der LastPass-MFA-/Verbundanmeldungsdatenbank – enthielt Kopien von LastPass-Authenticator-Seed-Phrases sowie Telefonnummern, die für die MFA-Sicherungsoption verwendet werden (falls aktiviert), und eine Geteiltes-Wissen-Komponente („Split Knowledge“, sogenannter „K2-Schlüssel“), die für die LastPass-Verbundanmeldung (falls aktiviert) verwendet wird. Diese Datenbank war verschlüsselt, aber der separat gespeicherte Entschlüsselungsschlüssel gehörte zu den während des zweiten Vorfalls gestohlenen Schlüsseln.
- Sicherheitsbericht: Empfohlene Maßnahmen für Kunden von LastPass Free, Premium und Families. Dieser Bericht führt unsere Kunden von LastPass Free, Premium und Families durch die notwendigen Schritte, um wichtige LastPass-Einstellungen zu überprüfen und sicherzustellen, dass die Best Practices zum Schutz des Kontos befolgt werden.
- Sicherheitsbericht: Empfohlene Maßnahmen für Administratoren von LastPass Business. Dieser Bericht führt Administratoren unserer Business- und Teams-Kunden durch eine Risikobewertung der LastPass-Kontenkonfiguration und der Drittanbieter-Integrationen und enthält Informationen, die sowohl für nicht verbundene Benutzer als auch Verbundbenutzer relevant sind.