Der Passwort-Manager LastPass muss erneut einen Sicherheitsvorfall kommunizieren. Diesmal wurde das Unternehmen jedoch nicht direkt angegriffen. Stattdessen nutzten Angreifer eine Schwachstelle beim Dienstleister Klue, um auf Daten in der Salesforce-Umgebung von LastPass zuzugreifen. Die wichtigste Information vorweg: Die verschlüsselten Passwort-Tresore der Nutzer sind nach aktuellem Stand nicht betroffen. Dennoch kann der Vorfall für Kunden unangenehme Folgen haben.
Angriff lief über einen externen Dienstleister
Die Angreifer kompromittierten nicht die Infrastruktur von LastPass selbst, sondern den Anbieter Klue. Nach bisherigen Erkenntnissen verschafften sie sich über eine veraltete Integrationskennung Zugriff auf OAuth-Tokens. Diese ermöglichen Anwendungen den Zugriff auf andere Dienste, ohne dass jedes Mal Benutzername und Passwort eingegeben werden müssen.
Mit den gestohlenen Tokens griffen die Täter auf Salesforce-Daten mehrerer Unternehmen zu. LastPass gehört zu einer wachsenden Liste betroffener Firmen. Auch Unternehmen wie HackerOne, Recorded Future und Tanium haben bestätigt, dass CRM-Daten durch den Angriff abgeflossen sind. Der Vorfall gilt damit als klassischer Supply-Chain-Angriff, bei dem ein externer Dienstleister zum Einfallstor wird.
Welche Daten betroffen sind
Nach Angaben von LastPass wurden keine Passwort-Tresore, Master-Passwörter oder verschlüsselten Zugangsdaten kompromittiert. Betroffen sind stattdessen personenbezogene Informationen aus dem CRM-System. Dazu gehören Namen, E-Mail-Adressen, Telefonnummern und Postanschriften.
Zusätzlich konnten die Angreifer Inhalte von Support-Anfragen sowie vertriebsbezogene Informationen kopieren. Gerade Support-Tickets enthalten häufig Details zu Kontoproblemen oder zur genutzten IT-Umgebung. Diese Informationen können für spätere Betrugsversuche besonders wertvoll sein.
Das größte Risiko ist jetzt Phishing
Auch wenn Deine gespeicherten Passwörter laut LastPass sicher geblieben sind, steigt das Risiko gezielter Phishing-Angriffe deutlich. Kriminelle wissen nun möglicherweise, dass Du LastPass nutzt und kennen unter Umständen sogar frühere Support-Anfragen.
Dadurch lassen sich E-Mails oder Telefonanrufe erstellen, die deutlich glaubwürdiger wirken als gewöhnliche Spam-Nachrichten. Wer sich als LastPass-Support ausgibt und auf einen echten früheren Kontakt verweist, kann leichter Vertrauen aufbauen. Ziel solcher Angriffe ist häufig die Herausgabe des Master-Passworts, von Einmalcodes oder anderer Anmeldedaten.
So solltest Du jetzt reagieren
Ein sofortiger Wechsel des Master-Passworts ist nach aktuellem Kenntnisstand nicht zwingend erforderlich, weil die Passwort-Datenbanken nicht kompromittiert wurden. Sinnvoll ist jedoch eine erhöhte Aufmerksamkeit gegenüber Nachrichten, die angeblich von LastPass stammen.
Öffne keine Login-Links aus E-Mails oder SMS. Rufe LastPass stattdessen immer direkt über die offizielle Website oder die App auf. Falls Du Multi-Faktor-Authentifizierung oder Passkeys noch nicht aktiviert hast, ist jetzt ein guter Zeitpunkt dafür. Diese zusätzlichen Schutzmechanismen erschweren einen erfolgreichen Kontozugriff selbst dann, wenn Angreifer einzelne Zugangsdaten kennen.
Kommentare (0)