LastPass-Kennworttresore: Passwörter verschlüsselt, URLs jedoch nicht
I løbet af det sidste år lykkedes det cyberkriminelle at få adgang til tredjepartsudbyderes cloudsystemer og dermed tilgå LastPass-kundedata – herunder adgangskoderne til adgangskodebeholderne. Angriberne ser nu ud til at knække disse adgangskodebeholdere for at få adgang til specifikke konti.
Ifølge Brian Krebs har Taylor Monahan, produktchef hos MetaMask, en populær Ethereum-kryptobørs, sammen med andre IT-forskere undersøgt omkring 150 tilfælde, hvor kriminelle har stjålet mere end 35 millioner dollars i kryptokurser. De fandt tydelige spor af, at hackede LastPass-adgangskodebeholdere muliggjorde dette.
LastPass meddelte kort før jul sidste år, at URL’er var ukrypterede, men brugernavne og adgangskoder var sikret med 256-bit AES-kryptering. Dog muliggør de offline adgangskodeforskener ubegrænsede brute-force-angreb. Da LastPass imidlertid ikke fulgte OWASP’s anbefalinger og kun brugte omkring en tredjedel af de ideelt set nødvendige gentagelser af Password-Based Derivation Function 2 (PBKDF2), letter producenten lidt for knækningen af masteradgangskoden. Det er dog også muligt, at brugerne ikke fulgte LastPass’ anbefaling om ikke at bruge for korte og nemt gættebare adgangskoder. Derudover anbefalede virksomheden brugere, der ikke bruger federerede logintjenester, at ændre de adgangskoder, der er gemt hos LastPass.
Ifølge Monahan var alle berørte personer, som hun har hjulpet, langsigtede kryptoinvestorer med fokus på IT-sikkerhed. Ingen af dem bemærkede angreb, der normalt er begyndelsen på sådanne krypto-ran, f.eks. kompromittering af e-mail-konti eller smartphones. Ofrene inkluderede medarbejdere i kendte kryptovirksomheder, risikovillige kapitalfirmaer og dem, der har medudviklet DeFi-protokoller (Decentralized Finance) og endda drifter knudepunkter.
Fælles for alle ofrene var dog, at de tidligere havde brugt LastPass til at gemme deres “seed phrase”, den private nøgle til adgang til deres kryptoværdier. Med seed phraseen kan enhver få adgang til de kryptovaluta-aktiver, der er forbundet til nøglen, og overføre dem til hvilket som helst mål. Derfor bruger sikkerhedsbevidste kryptoinvestorer enten adgangskodeadministratorer til sikker opbevaring eller endda krypterede hardware-enheder.
Analysechefen hos Unciphered, Nick Bax, forklarede over for Krebs, at seed phraseen bogstaveligt talt er penge. Hvis nogen kopierer den til en kryptobørs, får de eller han adgang til alle de tilknyttede konti. Han når frem til de samme konklusioner som Mohan gør i sin egen analyse.
Ifølge IT-forskerne afslørede de også bemærkelsesværdige ligheder i den måde, hvorpå ofrenes midler blev stjålet og vasket gennem visse kryptobørser. De opdagede også, at angriberne ofte grupperede ofrene ved at sende deres kryptokurser til samme kryptobørs.
LastPass har ikke udtalt sig om disse begivenheder over for Krebs på grund af igangværende undersøgelser af de tidligere hændelser. Det anbefales stærkt, at LastPass-brugere skifter adgangskoderne til alle de konti, de administrerer, på grund af den aktuelle fare.
