Hersteller von Passwortmanagern, welche Kennworttresore (auch) in der Cloud speichern, sind ein äußerst attraktives Ziel für Angreifer. Das Unternehmen LastPass, welches die gleichnamige App anbietet, musste dies in der Vergangenheit bereits mehrfach erleben und Attacken vermelden. Jetzt kam es erneut zu einem Angriff, bei dem Kundendaten erbeutet wurden. Die Attacke erfolgte dabei nicht direkt auf die Systeme des Unternehmens, sondern zielte zunächst auf eine externe Marktforschungsfirma, mit der LastPass zusammenarbeitet. Betroffene Kunden informierte die Firma bereits per E-Mail über den erfolgreichen Hackerangriff.


Hacker gelangten nicht an Passwortsafes der Kunden
Die gute Nachricht: Die Kriminellen erbeuteten keine Passwortsafes. Was nicht heißt, dass die Kunden sich in Sicherheit wiegen können. Die Hacker gelangten einem Blogpost von LastPass zufolge unter anderem an Namen, Anschriften, Telefonnummern und E-Mail-Adressen. Darüber hinaus konnten sie auf Daten im Zusammenhang mit Supportfällen und Verkäufen zugreifen. Es steht daher zu befürchten, dass es in nächster Zeit verstärkt zu Phishing-Versuchen kommen dürfte, bei denen die gestohlenen Kundendaten gezielt eingesetzt werden.

Angreifer erbeuteten OAuth-Tokens von Dienstleister
Der Angriff erfolgte bereits am 12. Juni auf Systeme eines Unternehmens namens Klue, mit dem LastPass unter anderem beim Produktmarketing zusammenarbeitet. Da es sich um Daten aus Salesforce- und Gong-Systemen handelt, sind auch zahlreiche weitere Unternehmen von dem Hack betroffen. Laut The Register gehört dazu etwa Jamf, Entwickler der bekannten Geräteverwaltung für Apple-Devices. Die Angreifer erbeuteten zunächst OAuth-Tokens, mit deren Hilfe sie sich Zugang zu den Salesforce-Systemen von LastPass und anderen verschafften. Diese Tokens wurden mittlerweile invalidiert, sodass die unmittelbare Gefahr für weitere Zugriffe gebannt ist. LastPass hat zudem die Integration von Klue deaktiviert.

Betroffene müssen mit Phishing-Attacken rechnen
Betroffenen Kunden rät LastPass, in den kommenden Wochen und Monaten verstärkt auf Phishing-Versuche und sogenanntes Social Engineering zu achten. Das Unternehmen weist insbesondere darauf hin, dass seine Mitarbeiter niemals nach dem Master-Passwort fragen. Sollte eine solche Anfrage per E-Mail oder Messenger eintreffen, handelt es sich also mit Sicherheit um einen Angriff. Im Blogpost nennt LastPass einige E-Mail-Adressen, von denen bereits entsprechende Versuche gestartet wurden. LastPass wurde in der Vergangenheit bereits mehrfach von Hackern ins Visier genommen. Im November 2022 kam es zu einem Angriff, bei dem Kriminelle ebenfalls Kundendaten sowie Kennworttresore erbeuteten.