LastPass hat seine Kunden über einen Sicherheitsvorfall informiert, der nicht bei LastPass selbst, sondern bei einem Drittanbieter passiert ist. Betroffen ist der Anbieter Klue, eine Plattform für Markt- und Wettbewerbsinformationen, die unter anderem mit Salesforce-Umgebungen verbunden werden kann.
Laut LastPass konnten Angreifer über den Vorfall bei Klue auf bestimmte Kundendaten aus der Salesforce-Umgebung von LastPass zugreifen. Die gute Nachricht für Nutzer: LastPass betont, dass die eigenen Produkte, Dienste und die technische Infrastruktur nicht betroffen waren. Auch die Passwort-Tresore der Kunden sollen sicher geblieben sein.
Was ist passiert?
Mit Klue können Unternehmen Daten aus verschiedenen geschäftlichen Systemen zusammenführen. Dazu gehören unter anderem Integrationen mit Plattformen wie Salesforce. Genau solche Integrationen sind bei dem aktuellen Vorfall offenbar zum Problem geworden.
Nach aktuellem Stand konnten Angreifer OAuth-Tokens erlangen, die Klue für Verbindungen zu Kundensystemen nutzte. Mit solchen Tokens können Anwendungen auf andere Dienste zugreifen, ohne dass jedes Mal ein Passwort eingegeben werden muss. Das ist im normalen Betrieb praktisch, kann bei einem Sicherheitsvorfall jedoch gefährlich werden. Wer ein gültiges Token besitzt, kann unter Umständen wie eine vertrauenswürdige Anwendung auftreten.
Bei LastPass sollen die Angreifer diese Zugangsdaten genutzt haben, um auf Daten innerhalb der Salesforce-Umgebung zuzugreifen.
Welche Daten können betroffen sein?
Laut LastPass gehören dazu vor allem geschäftliche Kontakt- und CRM-Daten. Den Informationen zufolge sollen die Angreifer diese Zugangsdaten genutzt haben, um auf Daten innerhalb der Salesforce-Umgebung zuzugreifen.
- Namen
- Telefonnummern
- E-Mail-Adressen
- physische Adressen
- Supportfälle
- vertriebsbezogene Daten
Passwort-Tresore laut LastPass nicht betroffen
Nach derzeitiger Darstellung handelt es sich nicht um einen direkten Einbruch in die LastPass-Infrastruktur. Laut LastPass seien Produkte, Dienste und Infrastruktur nicht betroffen gewesen. Auch die Kundentresore sollen sicher geblieben sein.
Das unterscheidet den aktuellen Fall deutlich von dem schweren LastPass-Vorfall aus dem Jahr 2022, als der Passwortmanager massiv in die Kritik geriet. Dennoch ist der neue Vorfall unangenehm, da LastPass erneut im Zusammenhang mit einem Datenabfluss genannt wird - dieses Mal über einen Partner in der Lieferkette.
LastPass hat Zugriff auf Klue beendet
Nach Bekanntwerden des Vorfalls hat LastPass eigenen Angaben zufolge mehrere Maßnahmen ergriffen. Dazu gehört, dass der Mitarbeiterzugriff auf Klue beendet wurde. Zudem wurden die betroffenen API-Zugriffstokens rotiert. LastPass arbeitet eigenen Angaben zufolge mit Klue, Salesforce und Strafverfolgungsbehörden zusammen.
Was sollten betroffene LastPass-Kunden jetzt tun?
Personen, die eine Benachrichtigung von LastPass erhalten haben, sollten besonders aufmerksam sein. Wichtig ist, nicht auf verdächtige Links in E-Mails zu klicken und keine sensiblen Daten herauszugeben. Offizielle Kommunikation sollte ausschließlich über die bekannten und vertrauenswürdigen LastPass-Kanäle erfolgen.
Das Master-Passwort sollte niemals aufgrund einer E-Mail oder eines Anrufs eingegeben oder weitergegeben werden. Das Gleiche gilt für MFA-Codes, Wiederherstellungscodes oder andere Sicherheitsinformationen, die nicht in fremde Formulare gehören.
Außerdem ist es sinnvoll, bei ungewöhnlichen Kontaktaufnahmen skeptisch zu bleiben. Wenn sich jemand als Mitarbeiter von LastPass, Salesforce, Klue oder dem IT-Support ausgibt und Druck aufbaut, ist Vorsicht geboten.