Ende August gab der beliebte Passwortmanager Lastpass bekannt, dass Hacker in die internen Systeme eindringen und Teile des Quellcodes stehlen konnten. Nutzerdaten, also gespeicherte Passwörter, sollen dabei nicht kompromittiert worden sein. Stattdessen hätten die Angreifer ausschließlich Zugriff auf die Entwicklungsumgebung erhalten, was den Abgriff besagter technischer Informationen ermöglichte.

Inzwischen hat das Unternehmen die forensische Untersuchung des Vorfalls abgeschlossen, wie Lastpass-CEO Karim Toubba in einem neuen Blogpost verkündet. Demnach befand sich der Angreifer im August für vier Tage im System, bevor seine Aktivitäten erkannt wurden. Hinweise auf weitere Vorfälle außerhalb dieses Zeitrahmens gebe es hingegen keine. Außerdem, so Toubba, habe man keine Beweise dafür gefunden, "dass dieser Vorfall mit einem Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore verbunden war".

Getrennte Systeme

Sicherstellen könne man dies dem Blogeintrag zufolge, weil die Entwicklungsumgebung (in der keine Kundendaten gespeichert werden) physisch von der Produktionsumgebung getrennt sei. Es gebe demnach keine Direktverbindung zwischen den beiden, außerdem "hat Lastpass keinen Zugang zu den Master-Passwörtern der Tresore unserer Kunden". Dieses braucht man, um Zugriff auf gespeicherte Passwörter zu erhalten.

Darüber hinaus habe man geprüft, ob Schadsoftware in den eigenen Code eingeschleust wurde. Man könne jedoch bestätigen, dass dies nicht der Fall sei. Ganz allgemein hätten die eigenen Entwickler keine Möglichkeit, "Quellcode aus der Entwicklungsumgebung in die Produktion zu übertragen". Hierfür sei das Build-Release-Team – nach eingehender Prüfung – zuständig.

Darüber hinaus kündigte CEO Toubba an, dass das Unternehmen verbesserte Sicherheitsvorkehrungen und eine zusätzliche Bedrohungserkennung eingeführt habe, die sowohl in der Entwicklung als auch Produktion zum Einsatz kommen werde. (red, 21.9.2022)