LastPass-Entwicklungssysteme gehackt, um Quellcode zu stehlen

Das Passwortverwaltungsunternehmen LastPass wurde vor zwei Wochen gehackt, wodurch Hacker den Quellcode und proprietäre technische Informationen des Unternehmens stehlen konnten.

Die Offenlegung erfolgt, nachdem BleepingComputer letzte Woche von Insidern von dem Verstoß erfahren und das Unternehmen am 21. August kontaktiert hatte, ohne eine Antwort auf unsere Fragen zu erhalten.

Quellen sagten BleepingComputer, dass Mitarbeiter daran arbeiteten, den Angriff nach der LastPass-Verletzung einzudämmen.

Nach dem Senden von Fragen zu dem Angriff veröffentlichte LastPass heute eine Sicherheitsempfehlung, die bestätigt, dass es über ein kompromittiertes Entwicklerkonto gehackt wurde, das die Hacker für den Zugriff auf die Entwicklungsumgebung des Unternehmens verwendeten.

Obwohl LastPass behauptet, dass es keine Beweise dafür gibt, dass Kundendaten oder verschlüsselte Passwort-Tresore kompromittiert wurden, haben Angreifer Teile ihres Quellcodes und „technische Informationen von LastPass-Eigentümern“ gestohlen.

„Als Reaktion auf den Vorfall haben wir Eindämmungs- und Minderungsmaßnahmen ergriffen und ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt“, erklärt der LastPass-Bewertungen.

„Während unsere Ermittlungen andauern, haben wir einen Zustand der Eindämmung erreicht, zusätzliche erhöhte Sicherheitsmaßnahmen implementiert und sehen keine weiteren Beweise für unbefugte Aktivitäten.“

LastPass gab keine weiteren Details zu dem Angriff, wie die Angreifer das Konto des Entwicklers kompromittiert haben und welcher Quellcode gestohlen wurde, bekannt.

Die vollständige Sicherheitsempfehlung, die per E-Mail an LastPass-Kunden gesendet wird, kann unten gelesen werden.

LastPass ist eines der größten Passwortverwaltungsunternehmen der Welt und behauptet, von über 33 Millionen Menschen und 100.000 Unternehmen genutzt zu werden.

Da Verbraucher und Unternehmen die Software des Unternehmens verwenden, um ihre Passwörter sicher zu speichern, gibt es immer Bedenken, dass ein Hackerangriff auf das Unternehmen Angreifern den Zugriff auf gespeicherte Passwörter ermöglichen könnte.

Allerdings speichert LastPass Passwörter in „verschlüsselten Tresoren“, die nur mit dem Master-Passwort eines Kunden entschlüsselt werden können, das laut LastPass bei diesem Cyberangriff nicht kompromittiert wurde.

Vergangenes Jahr, LastPass erlitt einen Credential-Stuffing-Angriff die es Hackern ermöglichte, das Master-Passwort eines Benutzers zu bestätigen. Es wurde auch bekannt, dass LastPass-Master-Passwörter von böswilligen Akteuren gestohlen wurden, die die passwortstehlende Malware RedLine verbreiteten.

Aus diesem Grund ist es wichtig, die Multi-Faktor-Authentifizierung für Ihre LastPass-Konten zu aktivieren, damit Hacker nicht auf Ihr Konto zugreifen können, selbst wenn Ihr Passwort kompromittiert ist.

BleepingComputer hat sich erneut mit weiteren Fragen zu dem Angriff gemeldet.

Dies ist eine sich entwickelnde Geschichte.