Hinweis zu Sicherheitsvorfall

Update vom 22. Dezember 2022 Geschätzte LastPass-Community, wir haben Sie vor Kurzem darüber informiert, dass Unbefugte Zugriff auf einen externen Cloud-Speicherdienst erlangen konnten, den LastPass zur Speicherung archivierter Produktionsdaten-Backups nutzt. Im Sinne unseres Versprechens, stets transparent zu agieren, wollen wir Sie hier über den aktuellen Stand unserer laufenden Untersuchung informieren. Was wir bisher wissen Unsere bisherigen Untersuchungen ergaben, dass unbekannte Akteure mit Hilfe von Informationen, die im Zuge des im August 2022 von uns bekannt gemachten Sicherheitsvorfalls erbeutet wurden, auf eine cloudbasierte Speicherumgebung zugriffen. Im August 2022 wurden keine Kundendaten entwendet. Die kriminellen Akteure stahlen jedoch Quellcode und technische Daten aus unserer Entwicklungsumgebung und verwendeten sie für einen gezielten Angriff auf eines unserer Teammitglieder. Mit den so erbeuteten Zugangsdaten und Schlüsseln griffen sie anschließend auf bestimmte Speichervolumes des cloudbasierten Speicherdienstes zu und entschlüsselten diese. Wir hosten die LastPass-Dienste (d. h. unsere Produktionsumgebung) gegenwärtig in unseren internen Rechenzentren; der Cloud-Speicher wird für verschiedene Zwecke wie die Speicherung von Backups und zur Erfüllung regionaler Auflagen bezüglich des Datenaufbewahrungsortes genutzt. Der Cloud-Speicherdienst, auf den die kriminellen Akteure zugriffen, ist physisch von unserer Produktionsumgebung getrennt. Wie unsere bisherigen Ermittlungen ergaben, kopierten die kriminellen Akteure Daten aus dem Backup, nachdem sie den Schlüssel und die dualen Entschlüsselungsschlüssel für den Speichercontainer in ihren Besitz gebracht hatten. Dieses Backup enthielt grundlegende Kontodaten von Kunden und dazugehörige Metadaten wie Firmennamen, Benutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, über die Kunden auf den LastPass-Dienst zugriffen. Darüber hinaus konnten die kriminellen Akteure ein Backup mit Vault-Daten von Kunden aus dem verschlüsselten Speichercontainer kopieren. Dieses wird in einem proprietären Binärformat gespeichert, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte vertrauliche Felder wie Website-Benutzernamen und ‑Passwörter, sichere Notizen und Formulardaten enthält. Diese verschlüsselten Felder sind nach wie vor mittels 256-Bit-AES-Verschlüsselung geschützt und lassen sich nur mit einem eindeutigen Entschlüsselungsschlüssel entschlüsseln, der unter Verwendung unserer Zero-Knowledge-Architektur vom Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: LastPass kennt die Master-Passwörter seiner Benutzer nicht. Sie werden von uns weder gespeichert noch verwaltet.  Die Ver- und Entschlüsselung der Daten erfolgt ausschließlich im lokalen LastPass-Client. Nähere Informationen zu unserer Zero-Knowledge-Architektur und den Verschlüsselungsalgorithmen finden Sie hier. Es gibt keinerlei Hinweise darauf, dass die kriminellen Akteure auf unverschlüsselte Kreditkartendaten zugriffen. LastPass speichert keine vollständigen Kreditkartennummern, und in der betroffenen Cloudspeicherumgebung werden keine Kreditkartendaten archiviert. Was bedeutet das? Sind Ihre Daten gefährdet? Die kriminellen Akteure könnten versuchen, Ihr Master-Passwort per Brute-Force-Methode zu erraten und die erbeuteten Kopien der Vault-Daten zu entschlüsseln. Aufgrund der zu Ihrem Schutz eingesetzten Hashing- und Verschlüsselungsmethoden wäre es jedoch sehr schwierig, das Master-Passwort jener Kunden zu erraten, die unseren Best Practices für die Passwortsicherheit folgen. Um unsere kryptographischen Maßnahmen auf dem neuesten Stand zu halten und weiter zu verbessern, testen wir regelmäßig, ob unsere Algorithmen den neuesten Technologien zum Knacken von Passwörtern standhalten. Zudem könnten die kriminellen Akteure mittels Phishing, Credential-Stuffing oder anderen Brute-Force-Methoden Online-Konten von Kunden angreifen, die mit ihren LastPass-Vaults assoziiert sind. Wichtig zum Schutz vor Social Engineering und Phishing-Angriffen: LastPass kontaktiert Sie nie telefonisch, per E-Mail oder SMS mit der Bitte, zur Verifizierung Ihrer persönlichen Daten auf einen Link zu klicken. Außer bei der Vault-Anmeldung über einen LastPass-Client fragen wir Sie nie nach Ihrem Master-Passwort. Was sollen LastPass-Kunden tun? Zur Erinnerung: Die standardmäßigen Master-Passwort-Einstellungen und Best Practices von LastPass umfassen folgende Maßnahmen:

• Seit 2018 müssen LastPass-Master-Passwörter mindestens zwölf Zeichen lang sein. Dies minimiert das Risiko, dass das Passwort per Brute-Force-Methode erraten wird, beträchtlich.
• Um die Sicherheit Ihres Master-Passworts weiter zu erhöhen, verwendet LastPass 100.100 Iterationen von PBKDF2 (Password-Based Key Derivation Function 2) – das sind mehr Durchgänge als bei üblichen Implementierungen. PBKDF2 ist ein Algorithmus zur Stärkung des Passworts, der es erschwert, das Master-Passwort zu erraten. Sie können die aktuellen PBKDF2-Iterationen Ihres LastPass-Kontos hier überprüfen.
• Wir empfehlen Ihnen außerdem, Ihr Master-Passwort nie auf anderen Websites zu verwenden. Wenn Sie es doch tun und dieses Passwort dann kompromittiert wird, könnten Cyberkriminelle versuchen, sich mit bereits im Internet verfügbaren gestohlenen Zugangsdaten Zugriff auf Ihr Konto zu verschaffen (eine als Credential-Stuffing bezeichnete Methode).

Mit den oben beschriebenen Standardeinstellungen würde es Millionen Jahre dauern, Ihr Master-Passwort mit derzeit gängigen Methoden zu knacken. Ihre vertraulichen Vault-Daten wie Benutzernamen und Passwörter, sichere Notizen, Anhänge und Formularfelder sind und bleiben dank der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt. Sie müssen diesbezüglich zum aktuellen Zeitpunkt keine Maßnahmen ergreifen. Wichtig: Falls Sie nicht von den oben beschriebenen Master-Passwort-Standardeinstellungen Gebrauch machen, wäre die Anzahl der Versuche, bis jemand Ihr Master-Passwort erraten könnte, wesentlich geringer. In diesem Fall sollten Sie zur Minimierung des Risikos als zusätzliche Sicherheitsmaßnahme erwägen, die Passwörter für Ihre gespeicherten Websites zu ändern. LastPass-Business-Kunden, die von unseren Verbundanmeldungsdiensten Gebrauch machen, sind weiterhin durch die Zero-Knowledge-Architektur von LastPass geschützt. Ihre Vault-Daten werden mit einem versteckten Master-Passwort verschlüsselt. Je nach gewähltem Implementierungsmodell handelt es sich bei diesem versteckten Master-Passwort um eine Kombination aus mindestens zwei separat gespeicherten, 256 Bit oder 32 Zeichen langen zufälligen Zeichenfolgen, die kryptografisch erzeugt werden und auf eine bestimmte Weise zusammengesetzt werden müssen. Nähere Informationen hierzu finden Sie in unserem technischen Whitepaper. Die kriminellen Akteure hatten keinen Zugriff auf die in der Infrastruktur des Kunden-Identitätsanbieters bzw. von LastPass gespeicherten Schlüsselfragmente. Die Fragmente waren außerdem nicht Teil der kopierten Backups mit Kunden-Vaults. Wenn Sie die Verbundanmeldungsdienste nutzen, müssen Sie daher keine weiteren Maßnahmen ergreifen. Wichtig: Falls Sie als LastPass-Business-Kunde nicht von der Verbundanmeldung und den oben beschriebenen Master-Passwort-Standardeinstellungen Gebrauch machen, wäre die Anzahl der Versuche, bis jemand das Master-Passwort erraten könnte, wesentlich geringer. In diesem Fall sollten Sie zur Minimierung des Risikos als zusätzliche Sicherheitsmaßnahme erwägen, die Passwörter für Ihre gespeicherten Websites zu ändern. Von LastPass ergriffene Maßnahmen Als Reaktion auf den Sicherheitsvorfall vom August 2022 unterbanden wir jeden weiteren Zugriff auf die LastPass-Entwicklungsumgebung, indem wir diese Umgebung außer Betrieb nahmen und eine komplett neue Umgebung aufbauten. Darüber hinaus ersetzten wir Computer, Prozesse und Authentifizierungsmechanismen unseres Entwicklungsteams und erhöhten ihre Sicherheit weiter. Zur leichteren Erkennung unbefugter Aktivitäten führten wir zusätzliche Protokollierungs- und Alarmierungsmechanismen ein, darunter eine zweite Verteidigungslinie in Form einer führenden externen EDR-Lösung (Endpoint Detection and Response) zur Ergänzung unseres eigenen Teams. Wir arbeiten außerdem nach wie vor an der Umsetzung unserer Pläne, neue, dedizierte Entwicklungs- und Produktionsumgebungen für LastPass einzuführen. Als Reaktion auf den jüngsten Vorfall wechseln wir alle relevanten und möglicherweise betroffenen Zugangsdaten und Zertifikate regelmäßig und stocken die bestehende Endgerätesicherheit auf. Wir nehmen zudem eine eingehende Analyse aller Konten in unserem Cloud-Speicherdienst vor, in denen es Hinweise auf verdächtige Aktivitäten gibt; führen weitere Schutzmechanismen in dieser Umgebung ein und analysieren alle darin enthaltenen Daten, um zu ermitteln, worauf genau zugegriffen wurde. Wir setzten uns bereits mit einer kleinen Teilgruppe (weniger als drei Prozent) unserer LastPass-Business-Kunden in Verbindung, um ihnen basierend auf ihrer spezifischen Kontokonfiguration bestimmte Maßnahmen zu empfehlen. Wenn Sie LastPass Business nutzen und bislang nicht von uns kontaktiert wurden, müssen Sie derzeit keine weiteren Maßnahmenempfehlungen umsetzen. Der Vorfall wird nach wie vor untersucht. Als besondere Vorsichtsmaßnahme setzten wir die zuständigen Strafverfolgungs- und Aufsichtsbehörden darüber in Kenntnis. Wir sind bestrebt, Sie weiterhin über unsere Erkenntnisse, die von uns ergriffenen Maßnahmen und die von Ihnen eventuell auszuführenden Schritte auf dem Laufenden zu halten. Währenddessen funktionieren unsere Dienste wie gewohnt, wobei wir nach wie vor mit erhöhter Alarmbereitschaft arbeiten. Wir danken Ihnen für Ihre Unterstützung und Geduld, während wir uns mit der Aufarbeitung dieses Vorfalls befassen. Karim Toubba CEO von LastPass   Update vom Mittwoch, den 30. November 2022  Sehr geehrte LastPass-Kundin, sehr geehrter LastPass-Kunde, im Sinne unseres Versprechens, stets transparent zu agieren, wollte ich Sie über einen Sicherheitsvorfall informieren, den unser Team derzeit untersucht. Wir wurden vor Kurzem auf ungewöhnliche Aktivitäten in einem externen Cloud-Speicherdienst aufmerksam, den sowohl LastPass als auch sein Partnerunternehmen GoTo nutzen. Daraufhin leiteten wir umgehend eine Untersuchung in die Wege. Wir beauftragten die führende IT-Sicherheitsfirma Mandiant und informierten die zuständigen Strafverfolgungsbehörden. Es stellte sich heraus, dass unbefugte Personen mit Hilfe von Informationen, die sie beim Vorfall im August 2022 in ihren Besitz gebracht hatten, Zugriff auf bestimmte Elemente von Daten unserer Kunden erlangen konnten. Dank der Zero-Knowledge-Architektur von LastPass sind die Passwörter unserer Kunden jedoch zu jeder Zeit sicher verschlüsselt. Wir arbeiten mit größter Sorgfalt daran, das genaue Ausmaß des Vorfalls zu eruieren und zu ermitteln, auf welche Informationen konkret zugegriffen wurde. In der Zwischenzeit können wir bestätigen, dass die Produkte und Dienste von LastPass weiterhin einwandfrei funktionieren. Es gilt unsere übliche Empfehlung, die Best Practices für die Einrichtung und Konfiguration von LastPass zu beachten. Diese finden Sie hier [https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/]. Als Reaktion auf diesen Vorfall weiten wir unter anderem die Sicherheitsmaßnahmen und Überwachungskapazitäten in unserer gesamten Infrastruktur kontinuierlich aus, um weitere böswillige Aktivitäten zu erkennen und zu verhindern. Vielen Dank für Ihre Geduld, während wir den Vorfall genau untersuchen. Wie üblich werden wir Sie über die aktuellen Entwicklungen auf dem Laufenden halten. Karim Toubba CEO von LastPass   Update vom 15. September 2022 Geschätzte LastPass-Kunden, am 25. August 2022 setzten wir Sie über einen auf die LastPass-Entwicklungsumgebung beschränkten Sicherheitsvorfall in Kenntnis, bei dem ein Teil unseres Quellcodes sowie technische Daten abgegriffen wurden. Nun möchte ich Sie im Sinne der Transparenz über den Abschluss unserer Untersuchung informieren, welche die Sorgen unserer Privat- und Firmenkunden aus dem Weg räumen soll. Wir haben die Prüfung und die forensische Untersuchung in Zusammenarbeit mit Mandiant abgeschlossen. Die Untersuchung ergab, dass sich die Aktivitäten des kriminellen Akteurs auf einen Viertageszeitraum im August 2022 beschränkten. In diesem Zeitraum wurde das Sicherheitsteam von LastPass auf diese Aktivitäten aufmerksam und brachte die Situation unter Kontrolle. Es gibt keinerlei Hinweise darauf, dass kriminelle Akteure auch nach dem fraglichen Zeitraum aktiv waren. Darüber hinaus können wir bestätigen, dass es keine Hinweise darauf gibt, dass unbefugte Personen im Zuge dieses Vorfalls Zugriff auf Kundendaten oder verschlüsselte Passwort-Vaults erlangten. Unsere Untersuchung ergab, dass sich der kriminelle Akteur über das kompromittierte Endgerät eines Softwareentwicklers Zugriff auf die Entwicklungsumgebung verschaffte. Während die Methode, mit der das Endgerät ursprünglich kompromittiert wurde, nicht bekannt ist, wissen wir, dass sich der kriminelle Akteur über seinen dauerhaften Zugang als der Entwickler ausgab, nachdem dieser sich mittels Multifaktor-Authentifizierung erfolgreich authentisiert hatte. Der kriminelle Akteur erlangte Zugriff auf die Entwicklungsumgebung. Unser Systemdesign und unsere Kontrollmechanismen verhinderten jedoch einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Vaults. Zunächst einmal ist die LastPass-Entwicklungsumgebung physisch von der Produktionsumgebung getrennt; es gibt keine direkte Verbindung. Zweitens enthält die Entwicklungsumgebung keine Kundendaten oder verschlüsselten Vaults, und drittens hat LastPass keinen Zugriff auf die Master-Passwörter unserer Kunden. Gemäß unserem Zero-Knowledge-Sicherheitsmodell ist es mit Ausnahme des Vault-Besitzers niemandem möglich, Vault-Daten ohne Master-Passwort zu entschlüsseln. Zur Überprüfung der Integrität unseres Codes nahmen wir eine Analyse unseres Quellcodes und unserer Produktionsbuilds vor. Wir können bestätigen, dass keine Hinweise auf Versuche gefunden wurden, gefälschten oder bösartigen Code einzuschleusen. LastPass-Entwickler sind nicht in der Lage, Quellcode von der Entwicklungs- in die Produktionsumgebung zu pushen. Dies ist einem separaten Build-Release-Team vorbehalten und erfolgt nur nach Abschluss strikter Codeüberprüfungs-, Test- und Validierungsprozesse. Im Rahmen unserer Risikomanagementstrategie taten wir uns außerdem mit einem führenden Cybersicherheitsunternehmen zusammen, um die Schutzmaßnahmen für unseren vorhandenen Quellcode weiter zu verbessern. Dazu zählen SSDLC-Prozesse (Secure Software Development Life Cycle), Threat Modeling, Schwachstellen-Management und Bug-Bounty-Programme. Des Weiteren führten wir verbesserte Sicherheitsmaßnahmen wie zusätzliche Kontrollen von Endgeräten und zusätzliches Monitoring der Endgerätesicherheit ein, und wir implementierten sowohl in der Entwicklungs- als auch in der Produktionsumgebung weitere Threat-Intelligence-Funktionen sowie verbesserte Technologien zur Erkennung und Prävention von Risiken. Indem wir Sie so rasch wie möglich über den Vorfall informierten, wollten wir unserer Verpflichtung zum Schutz der uns anvertrauten Kundendaten nachkommen und sie weiter bekräftigen. Wir wissen, dass Sicherheitsvorfälle egal welcher Art Anlass zur Sorge geben. Wir wollen Ihnen daher versichern, dass Ihre persönlichen Daten und Passwörter bei uns in sicheren Händen sind. Vielen Dank für Ihre Treue und Unterstützung. Karim Toubba CEO von LastPass   Ursprünglicher Beitrag vom 25. August 2022 Liebe LastPass-Kunden, ich möchte Sie über einen Vorgang informieren, über den die Privat- und Geschäftskunden von LastPass unserer Meinung nach Bescheid wissen sollten. Vor zwei Wochen haben wir in Teilen der LastPass-Entwicklungsumgebung ungewöhnliche Aktivitäten festgestellt. Nachdem wir umgehend eine Untersuchung eingeleitet haben, konnten wir keine Hinweise finden, dass es bei diesem Vorfall zu einem Zugriff auf Benutzerdaten oder verschlüsselte Passwort-Vaults kam. Wie wir feststellen mussten, haben sich Unbefugte über ein einzelnes kompromittiertes Entwicklerkonto Zugang zu Teilen der LastPass-Entwicklungsumgebung verschafft und Abschnitte des Quellcodes sowie einige interne technische Informationen von LastPass gestohlen. Unsere Produkte und Dienste wurden dadurch nicht beeinträchtigt. Als Reaktion auf den Vorfall haben wir Maßnahmen zur Risiko- und Schadensbegrenzung getroffen und ein führendes Unternehmen für Cybersicherheit und IT-Forensik beauftragt. Unsere Untersuchungen sind zwar noch nicht abgeschlossen, doch wir haben die Situation unter Kontrolle gebracht und zusätzliche Sicherheitsfunktionen implementiert. Weitere Anzeichen für unbefugte Aktivitäten können wir nicht feststellen. Ausgehend von unseren Erkenntnissen und den bereits ergriffenen Maßnahmen prüfen wir weitere Methoden zum Schutz und zur Stärkung unserer Systeme. Nachstehend finden Sie Antworten auf die drängendsten Fragen, die Sie vermutlich gerade bezüglich der Situation haben. Wir halten Sie weiterhin mit der gebotenen Transparenz auf dem Laufenden. Vielen Dank für Ihre Geduld, Ihr Verständnis und Ihre Unterstützung. Karim Toubba CEO von LastPass

FAQ

1. Wurde mein Master-Passwort oder das Master-Passwort meiner Benutzer kompromittiert?

Nein. Ihr Master-Passwort wurde bei diesem Vorfall nicht kompromittiert. Ihr Master-Passwort ist bei uns weder gespeichert noch bekannt. Wir verwenden dem Branchenstandard entsprechend eine Zero-Knowledge-Architektur, die gewährleistet, dass LastPass niemals die Master-Passwörter unserer Kunden erfahren oder darauf zugreifen kann. Weitere Informationen zur technischen Umsetzung des Zero-Knowledge-Prinzips finden Sie HIER.

2. Wurden irgendwelche Daten in meinem Vault oder in den Vaults meiner Benutzer kompromittiert?

Nein. Dieser Vorfall beschränkte sich auf unsere Entwicklungsumgebung. Bei unseren Untersuchungen konnten wir keine Hinweise auf einen unbefugten Zugriff auf verschlüsselte Vault-Daten finden. Unser Zero-Knowledge-Modell gewährleistet, dass entschlüsselte Vault-Daten nur für den jeweiligen Benutzer zugänglich sind.

3. Wurden irgendwelche personenbezogenen Daten von mir oder meinen Benutzern kompromittiert?

Nein. Unsere Untersuchungen lieferten keine Hinweise auf einen unbefugten Zugriff auf Kundendaten in unserer Entwicklungsumgebung.

4. Was kann ich tun, um mich und meine Vault-Daten zu schützen?

Derzeit gibt es keine Handlungsempfehlungen für unsere Benutzer oder Administratoren. Es gilt lediglich unsere übliche Empfehlung, die Best Practices für die Einrichtung und Konfiguration von LastPass zu beachten. Diese finden Sie unter https://blog.lastpass.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. Wo finde ich weitere Informationen?

Wir halten unsere Kunden weiter mit der gebotenen Transparenz auf dem Laufenden.