
Incident-Report: 31. März 2017 (20:10 Uhr)
Am Samstag, den 25. März meldete Sicherheitsforscher Tavis Ormandy von Googles Project Zero einen sicherheitsrelevanten Fund in den LastPass-Browsererweiterungen. In den letzten 24 Stunden wurde von uns ein Update veröffentlicht, das die entdeckte Sicherheitslücke unserer Meinung nach in allen Browsern schließt. Dies wurde auch von Ormandy selbst überprüft und bestätigt.
Die meisten User nutzen für ihre LastPass-Browsererweiterungen wahrscheinlich die automatischen Updates. Bitte stellen Sie sicher, dass Sie die neueste Version (4.1.44 oder höher) verwenden, die auch unter https://www.lastpass.com/ zum Download zur Verfügung steht.
Nun, da das Problem behoben wurde, möchten wir eine Post-mortem-Analyse veröffentlichen und unserer Nutzergemeinde erklären, welche Konsequenzen dieser Report hatte und wie wir LastPass in Zukunft besser und sicherer machen werden. Bitte beachten Sie, dass die Analyse aufgrund der Art der entdeckten Sicherheitslücke einige sehr technische Details enthält.
Zusammenfassung
- Die Sicherheitslücke kam auf Clientseite in den LastPass-Browsererweiterungen vor und machte es möglich, Daten zu stehlen und die LastPass-Erweiterung zu manipulieren.
- Um sie auszunutzen, musste der User (über einen Phishing-, Spearphishing- oder anderen Angriff) auf eine präparierte Website gelockt werden oder es musste auf einer vertrauenswürdigen Website schädliche Adware ausgeführt werden.
- Dazu war ein Angriff auf einzelne Benutzer notwendig, und zwar über den lokalen Browser des Benutzers.
- Für alle Erweiterungen wurden nun Updates mit der Fehlerkorrektur an die jeweiligen Stores übermittelt.
- Unsere mobilen Apps für Android und iOS waren nicht betroffen.
- All Ihre LastPass-Browsererweiterungen sollten auf Version 4.1.44 oder höher aktualisiert werden.
- Sie können Ihre Versionsnummer ermitteln, indem Sie auf das Symbol der LastPass-Erweiterung klicken und dann auf Weitere Optionen > Über LastPass.
- Unsere Erweiterung sollte für die meisten User automatisch aktualisiert werden; die neuesten Versionen stehen aber auch unter https://www.lastpass.com/ zum Download zur Verfügung.
- Zum Herunterladen der aktualisierten Version ist keine Deinstallation erforderlich.
- März 2017 (19:10 Uhr)
- Verwenden Sie den LastPass-Vault als Launchpad: Rufen Sie Websites direkt aus dem LastPass-Vault auf. Bis die Sicherheitslücke geschlossen wurde, ist dies die sicherste Methode für den Zugriff auf Ihre Zugangsdaten.
- Nutzen Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung: Wenn die Zwei-Faktor-Authentifizierung für einen Dienst angeboten wird, dann sollten Sie stets davon Gebrauch machen. Viele Websites haben diese Option mittlerweile eingeführt, um die Sicherheit zu erhöhen.
- Nehmen Sie sich vor Phishing-Angriffen in Acht: Seien Sie stets auf der Hut vor Phishing-Versuchen. Klicken Sie auf keine Links von Unbekannten und auch auf keine verdächtig erscheinenden Links von Kontakten und Unternehmen, denen Sie normalerweise vertrauen. Lesen Sie dazu auch unseren Artikel mit grundlegenden Informationen zu Phishing-Angriffen.