LastPass bestätigt Datenleck nach Lieferkettenangriff – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

LastPass bestätigt Datenleck nach Lieferkettenangriff

Der beliebte Passwort-Manager LastPass hat bestätigt, dass Kundendaten bei einem Lieferkettenangriff über die Drittanbieter-Plattform Klue kompromittiert wurden. OAuth-Token wurden gestohlen, was zu einem Zugriff auf die Salesforce-Umgebung führte.

LastPass-Logo mit einer Grafik einer durchbrochenen Kette und eines Schlosses, die einen Lieferkettenangriff symbolisieren.

Was ist passiert

LastPass, eine der weltweit beliebtesten Plattformen zur Passwortverwaltung, bestätigte am 23. Juni 2026, dass durch einen Angriff auf die Lieferkette ein unbefugter Zugriff auf einige seiner Kundendaten stattgefunden hat. Der Vorfall begann mit einem Einbruch in die Systeme von Klue, einer externen Marktforschungsplattform, die von den Marketing- und Vertriebsteams von LastPass genutzt wird. LastPass gab an, am 12. Juni von Klue über den Vorfall informiert worden zu sein und unverzüglich eine umfassende Untersuchung eingeleitet zu haben.

Der Angriff zielte nicht direkt auf die eigene Infrastruktur von LastPass oder seine Passwort-Tresore ab. Stattdessen nutzten die Cyberkriminellen die Klue-Plattform als Sprungbrett. Solche Angriffe sind dafür bekannt, das schwächste Glied in der Sicherheitskette eines Unternehmens anzugreifen, nämlich seine Geschäftspartner oder Dienstleister, die möglicherweise weniger sicher sind. Im Fall von LastPass waren das Ziel der Angreifer die Authentifizierungstoken, die von Klue gehalten wurden und den Zugriff auf die anderen Systeme seiner Kunden (in diesem Fall Salesforce) ermöglichten. Das Unternehmen betonte in seiner Erklärung, dass seine Produkte, Dienstleistungen und seine Kerninfrastruktur von diesem Vorfall nicht betroffen waren und, was am wichtigsten ist, dass die Passwort-Tresore der Kunden sicher blieben. Das bedeutet, dass die Master-Passwörter der Benutzer und die in ihren Tresoren gespeicherten sensiblen Informationen nicht kompromittiert wurden. Der Vorfall betrifft jedoch immer noch erhebliche personenbezogene Daten, was für die Benutzer ernsthafte Risiken darstellen könnte.

Welche Daten wurden preisgegeben

LastPass erklärte, dass die Cyberangreifer die von Klue gestohlenen Authentifizierungsdaten nutzten, um Zugang zur Salesforce-Umgebung des Unternehmens zu erhalten und von dort spezifische Kundendaten zu exfiltrieren. Die Art der durchgesickerten Daten umfasst die direkten Kontakt- und Identitätsinformationen der Benutzer. Dies verschafft den Angreifern eine wertvolle Ressource für zukünftige Phishing- und Social-Engineering-Angriffe. Laut der Mitteilung des Unternehmens umfassen die preisgegebenen Daten:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Kundennamen: Die vollständigen Namen der Benutzer ermöglichen es Angreifern, personalisiertere und überzeugendere Phishing-E-Mails zu erstellen.
  • Telefonnummern: Können für Voice-Phishing- (Vishing) oder SMS-basierte Betrugsangriffe (Smishing) verwendet werden.
  • E-Mail-Adressen: Der primäre Kommunikationskanal für Angriffe, ideal für den Versand gefälschter LastPass-Benachrichtigungen.
  • Physische Adressen: Obwohl seltener, können sie für komplexere Betrugsszenarien oder Identitätsdiebstahl verwendet werden.
  • Informationen zu Supportfällen: Diese Informationen, die frühere Probleme der Benutzer enthalten, können es Angreifern erleichtern, Vertrauen zu gewinnen, indem sie sich als das LastPass-Supportteam ausgeben.
  • Vertriebs-/CRM-bezogene Daten: Informationen über die Geschäftsbeziehungen von Unternehmen mit LastPass können bei gezielten Angriffen auf Unternehmenskunden verwendet werden.

LastPass bekräftigte, dass die Master-Passwörter, die die Passwort-Tresore der Kunden schützen, und andere Daten in den Tresoren von diesem Datenleck nicht betroffen waren. Es wurde auch darauf hingewiesen, dass es keine Beweise für einen Zugriff auf Daten im Zusammenhang mit den Gong-Systemen gibt, die normalerweise Kundenanrufe und E-Mails enthalten. Dennoch ist es immer eine gute Idee, eine Datenleck-Suche zu verwenden, um zu prüfen, ob Ihre E-Mail-Adresse von anderen Datenlecks betroffen war.

Wie der Angriff geschah

Dieser Vorfall ist ein klassisches Beispiel für einen ausgeklügelten Lieferkettenangriff. Die Erpressergruppe "Icarus", die die Verantwortung für den Angriff übernommen hat, zielte nicht direkt auf LastPass, sondern auf seinen Partner Klue. Die Angriffskette verlief in folgenden Schritten:

  1. Einbruch in die Infrastruktur von Klue: Die Angreifer infiltrierten die Infrastruktur von Klue über alte und unsichere Legacy-Anmeldeinformationen für einen Integrationsdienst. Dieser erste Schritt verschaffte ihnen einen Fuß in der Tür des Systems.
  2. Diebstahl von OAuth-Token: Sobald sie in die Systeme eingedrungen waren, zielten die Angreifer auf die OAuth-Token ab, die Klue verwendete, um sich im Namen seiner Kunden mit Diensten von Drittanbietern (wie Salesforce und Gong) zu verbinden. OAuth ist ein Autorisierungsstandard, der es einer Anwendung ermöglicht, bestimmte Aktionen im Namen einer anderen Anwendung durchzuführen. Diese Token sind wie digitale Schlüssel, die einen systemübergreifenden Zugriff ohne Passwörter ermöglichen.
  3. Zugriff auf die Salesforce-Umgebung von LastPass: Die Icarus-Gruppe nutzte das gestohlene, zu LastPass gehörende OAuth-Token, um auf die Salesforce-Umgebung des Unternehmens zuzugreifen, in der Kundendaten verwaltet werden, als wäre es eine autorisierte Anwendung. Über diesen Zugang exfiltrierten sie die oben aufgeführten Kundendaten.

Die Icarus-Gruppe, die den Angriff für sich beanspruchte, zielte mit dieser Methode nicht nur auf LastPass, sondern auch auf viele andere Kunden von Klue. Die Gruppe behauptet, eine Erpressungskampagne mit den erbeuteten Daten gestartet zu haben. Solche Angriffe zeigen einmal mehr, dass Unternehmen nicht nur ihre eigene Sicherheit, sondern auch die Sicherheitslage all ihrer Geschäftspartner berücksichtigen müssen. Aktuelle Datenleck-Nachrichten zeigen, dass Angriffe auf die Lieferkette eine stetig wachsende Bedrohung darstellen.

Wer ist betroffen

Direkt von dem Datenleck betroffen sind die Kunden, deren oben aufgeführte persönliche und geschäftliche Informationen im Salesforce-System von LastPass gespeichert waren. Der Umfang dieses Vorfalls ist jedoch nicht auf LastPass beschränkt. Da die Quelle des Angriffs die Klue-Plattform war, sind auch viele andere bekannte Unternehmen, die diese Plattform nutzen, gefährdet. Laut den Behauptungen der Icarus-Gruppe und Berichten aus der Cybersicherheits-Community gehören zu den weiteren von dem Klue-Datenleck betroffenen Organisationen:

  • Recorded Future
  • Tanium
  • Jamf
  • Sprout Social
  • Gong
  • Insurity

Dies zeigt die weitreichenden Auswirkungen der Sicherheitslücke bei Klue. Jedes der aufgeführten Unternehmen musste seine eigene Untersuchung durchführen, um festzustellen, ob Daten in seinen Salesforce- oder anderen integrierten Systemen gefährdet waren. Dieser Vorfall ist ein konkretes Beispiel dafür, wie eine einzige Schwachstelle bei einem Dienstleister einen Dominoeffekt auslösen kann, der Dutzende seiner Kunden betrifft.

Was Sie tun können

Obwohl die Passwort-Tresore von LastPass-Benutzern sicher sind, müssen sie aufgrund der durchgesickerten persönlichen Daten vorsichtig sein. Angreifer können diese Informationen nutzen, um Sie zu täuschen. Hier sind die Vorkehrungen, die Sie treffen sollten:

  • Seien Sie wachsam gegenüber Phishing-Angriffen: Angreifer, die Ihren Namen, Ihre E-Mail-Adresse und Ihre Telefonnummer kennen, können äußerst überzeugende gefälschte E-Mails oder SMS-Nachrichten senden, die scheinbar von LastPass stammen. Diese Nachrichten können ein Gefühl der Dringlichkeit vermitteln, mit Formulierungen wie "verdächtige Aktivitäten in Ihrem Konto festgestellt" oder "Sie müssen Ihr Passwort zurücksetzen". Klicken Sie niemals auf Links oder laden Sie Anhänge in solchen Nachrichten herunter.
  • Teilen Sie niemals Ihr Master-Passwort: LastPass oder ein anderes Unternehmen wird Sie niemals per E-Mail, Telefon oder auf andere Weise nach Ihrem Master-Passwort fragen. Ihr Master-Passwort ist der alleinige Schlüssel zu Ihrem Tresor und gehört nur Ihnen.
  • Nutzen Sie offizielle Kommunikationskanäle: Wenn Sie LastPass kontaktieren müssen, verwenden Sie nur die Support-Kanäle, die über die offizielle Website oder Anwendung bereitgestellt werden.
  • Achten Sie auf verdächtige Domains: LastPass hat davor gewarnt, dass Angreifer Domains wie baccarat.com[.]au, robinskitchen.com[.]au und house[.]com.au für betrügerische Kommunikation verwenden könnten. Vertrauen Sie keinen E-Mails von diesen und ähnlichen verdächtigen Absendern.

Was das Unternehmen sagt

LastPass gab bekannt, dass es seit Kenntnis des Vorfalls eine Reihe von Maßnahmen ergriffen hat. Laut der offiziellen Erklärung des Unternehmens wurden folgende Schritte unternommen:

"Am 12. Juni wurde LastPass über einen Vorfall bei Klue (klue.com) informiert, einer externen Marktforschungsplattform, die von unseren Go-to-Market-Teams genutzt wird und in unsere Salesforce- und Gong-Systeme integriert ist. Wir haben sofort eine Untersuchung eingeleitet und erfahren, dass im Rahmen dieses Vorfalls ein unbefugter Akteur in der Lage war, OAuth-Token zu erlangen, die Klue für viele seiner Kunden, einschließlich LastPass, gespeichert hatte."

Nach dieser Erklärung gab LastPass an, die folgenden Maßnahmen ergriffen zu haben:

  • Der Mitarbeiterzugriff auf die Klue-Plattform wurde sofort deaktiviert.
  • Die kompromittierten API/OAuth-Token wurden umgehend widerrufen und ausgetauscht.
  • Der Vorfall wurde den zuständigen Strafverfolgungsbehörden gemeldet.
  • Es wird eine fortlaufende Untersuchung mit Cybersicherheitsexperten durchgeführt, um alle Aspekte des Vorfalls aufzudecken.

LastPass betonte, dass es seine Benutzer im Einklang mit seinem Transparenzprinzip weiterhin informieren und an der Verbesserung seiner Sicherheitsmaßnahmen arbeiten wird.

Quelle

https://www.bleepingcomputer.com/news/security/lastpass-confirms-data-breach-in-klue-supply-chain-attack/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Kanadischer Stromversorger London Hydro meldet Datenpanne Nächster Beitrag → Datenleck bei Xsolis betrifft 1,4 Millionen Menschen

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.