LastPass benachrichtigt Nutzer über einen weiteren Datenvorfall

 (9to5mac.com)
1 Punkte von GN⁺ 5 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • LastPass-Nutzer wurden darüber informiert, dass durch einen Sicherheitsvorfall beim externen Partner Klue persönliche Daten und Support-Case-Daten offengelegt wurden
  • Der Zugriff bei diesem Vorfall war auf standardmäßige geschäftliche Kontaktdaten, CRM-Daten, Support-Case-Daten und vertriebsbezogene Daten beschränkt; Passwort-Tresore waren nicht betroffen
  • Zu den offengelegten Angaben gehören Kundennamen, Telefonnummern, E-Mail-Adressen und physische Adressen; die Klue-Plattform ist in Salesforce- und Gong-Systeme integriert
  • Nachdem LastPass von dem Vorfall erfahren hatte, entzog das Unternehmen den Klue-Zugriff seiner Mitarbeiter, ersetzte die offengelegten API-Token, informierte Strafverfolgungsbehörden und leitete über Klue und Salesforce Untersuchungen ein
  • Die geleakten Kontaktdaten könnten für Phishing und Social-Engineering-Angriffe missbraucht werden; Kunden und Unternehmen sollten daher die geteilten Angriffsindikatoren prüfen

Klue-Sicherheitsvorfall und Reaktion von LastPass

  • LastPass hat infolge eines Sicherheitsvorfalls beim Marktforschungsunternehmen Klue E-Mails an die betroffenen Nutzer verschickt
  • Hacker konnten durch den Vorfall auf Kundeninformationen und Support-Case-Daten zugreifen
  • Die abgerufenen Informationen waren auf folgenden Umfang beschränkt
    • Kundennamen, Telefonnummern, E-Mail-Adressen, physische Adressen
    • Customer-Relationship-Management-(CRM-)Daten
    • Support-Case-Daten
    • Vertriebsbezogene Daten
  • Der Passwort-Tresor von LastPass war bei diesem Vorfall nicht betroffen
  • Die Klue-Plattform ist in Salesforce- und Gong-Systeme integriert
  • LastPass leitete als Reaktion auf den Vorfall Maßnahmen zur Zugriffssperrung und Untersuchung ein
    • Entzug der Klue-Zugriffsrechte für Mitarbeiter
    • Austausch der offengelegten API-Token
    • Benachrichtigung von Strafverfolgungsbehörden
    • Untersuchung des Ausmaßes des Vorfalls durch Kontaktaufnahme mit Klue und Salesforce

Angriffsindikatoren und frühere Sicherheitsvorfälle

  • Kunden sollten auf Phishing-Angriffe oder Social-Engineering-Versuche achten, bei denen die geleakten Informationen genutzt werden
  • Damit Unternehmen entsprechende Aktivitäten in ihren Systemen suchen können, wurden Indikatoren mit Bezug zu den Angreifern geteilt
    • IP-Adressen:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • E-Mail-Absenderdomains:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass hatte in der Vergangenheit bereits mehrfach Sicherheitsvorfälle
    • 2015 wurden Konto-E-Mail-Adressen, Passworthinweise, Authentifizierungs-Hashes und kryptografische Salts entwendet; auf verschlüsselte Tresordaten wurde jedoch nicht zugegriffen
    • 2022 kompromittierten Angreifer ein Entwicklerkonto und stahlen Quellcode sowie technische Informationen; später nutzten sie dies, um auf Cloud-Backups mit Kundendatensätzen und verschlüsselten Passwort-Tresoren zuzugreifen
    • Zum selben Vorfall von 2022 gehörten auch unverschlüsselte Informationen wie Namen, Rechnungsadressen, E-Mail-Adressen und Telefonnummern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 5 시간 전
Hacker-News-Kommentare

  • Ich weiß nicht, wer LastPass noch ernsthaft vertrauen kann
    Ich habe vor ein paar Jahren bei einem Unternehmen gearbeitet, das Bankdaten verarbeitet hat, und selbst direkt nach dem vorherigen Sicherheitsvorfall bei LastPass wurde dort weiter LastPass genutzt, ohne Pläne für einen Wechsel

    • Viele Menschen und Organisationen nutzen Sicherheitsprodukte nicht für Sicherheit, sondern für Security-Theater
      Sehr viele Leute, sogar unter Sicherheitsverantwortlichen, werden von diesem Vorfall gar nichts mitbekommen, also funktioniert LastPass für sie offenbar weiterhin bestens
    • Wenn die Passwörter noch nicht bekannt geworden sind, dann ist diese „Verletzung“ aus Sicht der Endnutzer kein Fehlschlag
      Wenn das Master-Passwort des Tresors sicher ist und der einzige Weg zum Tresor weiterhin das Master-Passwort ist, dann erfüllt es für Endnutzer immer noch den gewünschten Zweck
      Das Wort „Verletzung“ bedeutet ohne nähere Einordnung nicht viel
    • Ich habe viel Sicherheitsberatung für Hunderte von Unternehmen gemacht, und die Firmen, die Sicherheit wirklich ernst genommen haben, waren in der Vergangenheit diejenigen, die bereits verletzt worden waren
      Bevor Geschäftsleitung und Vorstand die Kostenfolgen direkt sehen, bekommt ein Sicherheitsprogramm allein durchs Lesen darüber niemals das nötige Budget
      Das heißt nicht, dass ich deshalb LastPass empfehlen würde, aber nur aus diesem Grund würde ich es auch nicht völlig ausschließen
    • Ich verstehe nicht, wie man alle Passwörter und Verschlüsselungsschlüssel einem Dritten anvertrauen kann
      Eine KeePassXC-Einrichtung ist wirklich sehr einfach

  • Es sind sehr viel mehr Unternehmen betroffen. Einige sind unten aufgelistet

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • Ich verstehe überhaupt nicht, warum LastPass Kundendetails an ein Marktforschungsunternehmen weitergibt
    Solche Daten hätten vollständig anonymisiert werden müssen, also ohne Namen, konkrete Adressen usw.
    Für Leute, die Empfehlungen suchen, nutze ich KeepassXC und Keepass2Android. Es ist Open Source, verwendet eine lokale Datenbank, und man kann selbst entscheiden, ob synchronisiert werden soll oder nicht. Ich synchronisiere mit Own cloud

    • Ich nutze seit Jahren pwsafe
      Ebenfalls kostenlose Open-Source-Software und ein rein lokaler Tresor. Man ist nicht auf einen Cloud-Dienst angewiesen, der inkompetent mit Daten umgeht und sie verliert
      Optional kann man den Tresor in Dropbox oder iCloud Drive speichern, aber ich weiß nicht, warum man das unbedingt tun sollte

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      Warum sollten solche Daten überhaupt weitergegeben werden?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • Dieser Ansatz ist in mancher Hinsicht vielleicht noch schlechter als LastPass zu verwenden, aber in den letzten Jahren habe ich 90 % meiner Passwörter einfach erzeugt und dann wieder vergessen
    Nur die übrigen 10 % bewahre ich in einem Passwortmanager auf. Bei weniger wichtigen Diensten klicke ich beim Einloggen einfach jedes Mal auf „Passwort vergessen“ und setze ein neues

    • Wenn ein Konto keine Zwei-Faktor-Authentifizierung hat, funktioniert das
      Bei meiner letzten Side-Project-App konnten sich Nutzer nur mit einem einmaligen Passwort per E-Mail anmelden
      Es gibt dabei Sicherheitsnachteile wie Phishing, bei dem man dazu gebracht wird, ein Einmalpasswort auf einer gefälschten Website einzugeben, aber da die App nichts Sensibles speichert, halte ich das nicht für ein großes Sicherheitsrisiko
    • Ich hatte schon einmal Probleme, weil ich keinen Zugriff mehr auf eine alte Telefonnummer hatte, an die 2FA-SMS gesendet wurden
    • Deshalb wechseln viele Dienste bei der Anmeldung zu Magic Links per E-Mail
      Am Ende bedeutet bei vielen Diensten die Kontrolle über die E-Mail-Adresse praktisch die Kontrolle über den Login

  • Ich nutze seit Jahren Enpass, weil ich günstig eine lebenslange Lizenz bekommen habe
    Enpass hostet keinen eigenen Cloud-Dienst für die Passwortsynchronisierung, sondern synchronisiert in den Cloud-Speicher, den der Nutzer selbst autorisiert. Ich nutze Google Drive
    Ich halte diesen Ansatz für besser. Wenn jemand Böswilliges in mein Google-Konto eindringt, bin ich ohnehin erledigt, vermutlich sogar schlimmer, als wenn nur mein Passwortmanager kompromittiert würde
    Außerdem entsteht so kein zentraler Datenhaufen, der bei einem Einbruch besonders lukrativ wäre. Um alle Passwörter von Enpass zu stehlen, müsste man Google Drive, Dropbox, iCloud usw. hacken und dann die Dateien manuell finden

    • Worin unterscheidet sich das zum Beispiel von KeePass?

  • Es ist zwar unterhaltsam, wegen einer weiteren Panne kollektiv auf LastPass einzudreschen und zu sagen, dass die Weitergabe von Kundendaten an Dritte völlig verantwortungslos sei, aber wenn man kurz anschaut, was tatsächlich passiert ist, sieht die Realität ziemlich anders aus als die Geschichte im Kopf
    Klue ist einer von vielen CRM-Diensten, die von Vertriebsteams genutzt werden. Man muss Kontakt-E-Mails von Kunden, Kundeneinträge wie die der Finanzabteilung usw. übermitteln, damit Klue Dinge wie „Marktinformationen“ über diese Kunden liefern kann
    Wenn man in ein Vertriebsteam geht und sich anschaut, welchen Kram es alles mit dem System verbunden hat, findet man wahrscheinlich ähnliche Dinge
    Ob das eine gute Idee ist, ist eine andere Frage, ich mag es überhaupt nicht, aber so arbeiten Vertriebsteams heute nun einmal. Wenn man es ihnen wegnehmen will, legt man sich mit der gesamten Vertriebsorganisation an
    Ich bin eher überrascht, dass solche Vorfälle nicht noch öfter passieren
    Die eigentliche Passwortdatenbank von LastPass ist nicht betroffen
    Ich habe zu keiner der beteiligten Organisationen irgendeine Beziehung

    • I am more surprised that these breaches don't happen more often.
      In Wirklichkeit passieren sie oft

  • Vielleicht sollte LastPass sich jetzt in First0wned umbenennen

  • Wenn ein Unternehmen nach dem Abfluss des Tresors LastPass weiter genutzt oder neu eingeführt hat, dann wird es sich darum jetzt vermutlich gar nicht kümmern, weil es diesmal nur CRM-Daten sind
    Ich habe durchaus etwas Verständnis für Unternehmen, die bei LastPass geblieben sind. Ich musste einmal eine Organisation von LastPass zu 1Password migrieren, und das war eine riesige und wirklich lästige Arbeit
    Aber für Leute, die sich nach 2022 noch für LastPass entschieden haben, fällt mir Verständnis schwer

    • Der eher belanglose Teil hier ist die geringe Bedeutung der Daten
      Der eigentliche Punkt ist, dass LastPass es besser hätte machen müssen, selbst wenn es noch so unbedeutend ist
      Ein Unternehmen, das Passwörter speichert, muss besser sein als das, um Vertrauen zu verdienen

  • Ich habe LastPass schon vor langer Zeit aufgegeben und bin zu BitWarden gewechselt, nutze inzwischen aber meistens Apples App Passwords