LastPass bestätigt Diebstahl von Kundendaten bei Lieferkettenangriff auf Klue – 33 Millionen Nutzer betroffen

LastPass informierte Kunden am 23. Juni, dass personenbezogene Daten und Kundensupport-Aufzeichnungen nach einem Lieferkettenangriff auf Klue gestohlen wurden, eine Marktinformationsplattform, die LastPass in seinen Go-to-Market-Operationen nutzt. Angreifer einer Gruppe namens Icarus erlangten OAuth-Token, die Klue im Namen seiner Kunden hielt, nutzten sie, um auf LastPass‘ Salesforce-Umgebung zuzugreifen, und extrahierten Kundendaten, bevor der Einbruch entdeckt wurde. LastPass hat mehr als 33 Millionen Nutzer, obwohl die genaue Anzahl betroffener Kunden nicht bekannt gegeben wurde.

Entscheidend ist, dass der Einbruch nicht die Kerninfrastruktur von LastPass oder die verschlüsselten Passwort-Tresore betraf, die die Passwörter der Nutzer speichern. „Die eigene Infrastruktur des Unternehmens war nicht betroffen, einschließlich der Passwort-Tresore der Kunden“, erklärte das Unternehmen. Die gestohlenen Daten beschränken sich auf Kundenbeziehungs- und Supportdaten – die Art von Daten, die in Verkaufs- und Support-Tools gehalten werden, nicht im Passwortverwaltungsprodukt selbst.

Wie der Angriff ablief

Der Einbruch geht auf den 12. Juni zurück, als Klue-CEO Jason Smith öffentlich bestätigte, dass Angreifer OAuth-Token erlangt hatten, die Klue für viele seiner Kunden hielt. Icarus gelangte über kompromittierte Legacy-Zugangsdaten für einen Integrationsdienst in Klues Systeme – eine Schwachstellenkategorie, die oft übersehen wird, wenn Organisationen Zugangsdaten für aktive Konten rotieren, aber die Zugangsdaten des Integrationsdienstes unverändert lassen. Einmal in Klues Infrastruktur, fanden die Angreifer die OAuth-Token, die Klue mit den externen SaaS-Umgebungen der Kunden verbanden, einschließlich Salesforce- und Gong-Instanzen.

LastPass war eines von mehreren Unternehmen, deren Salesforce-Umgebungen über Klues kompromittierte OAuth-Token zugänglich waren. Weitere bestätigte Opfer sind HackerOne, Recorded Future, Tanium, Jamf, Sprout Social und Gong. Das Muster ist bei jedem gleich: Ein Anbieter mit weitreichendem OAuth-Zugriff wird zur Angriffsfläche, um mehrere Organisationen gleichzeitig zu kompromittieren – ein einzelner Kompromiss, der Zugang zu vielen Zielen gewährt.

Was von LastPass gestohlen wurde

Die bestätigt gestohlenen Daten umfassen Kundennamen, Telefonnummern, E-Mail-Adressen, physische Adressen und die Inhalte von Kundensupport-Fallaufzeichnungen. Diese letzte Kategorie ist bedeutsam: Support-Fallinhalte können Details zur Kontokonfiguration eines Nutzers, zu früheren Sicherheitsbedenken und Fehlerbehebungsschritten enthalten – Informationen, die für gezielte Social-Engineering-Angriffe gegen betroffene Nutzer nützlich sein könnten.

LastPass hat nicht offengelegt, wie viele einzelne Nutzer betroffen waren. Die insgesamt 33 Millionen Nutzer des Unternehmens umfassen eine Mischung aus kostenlosen und kostenpflichtigen Konten; die offengelegten Salesforce-Daten decken wahrscheinlich zahlende Kunden und Nutzer ab, die den Support kontaktiert haben, nicht die gesamte Nutzerbasis.

Icarus: der Bedrohungsakteur

Icarus ist eine Erpressungsgruppe – sie verschlüsselt keine Opfersysteme nach Art traditioneller Ransomware-Betreiber. Stattdessen stiehlt sie Daten und droht mit deren Veröffentlichung, falls kein Lösegeld gezahlt wird. Die Gruppe hat öffentlich gedroht, die LastPass-Kundendaten zu veröffentlichen, wenn ihre Forderung nicht erfüllt wird. Icarus ist eine relativ neue Gruppe mit begrenztem öffentlichem Profil, obwohl die Raffinesse des Lieferkettenangriffs auf Klue – Identifizieren und Ausnutzen von OAuth-Token in mehreren Kundenumgebungen aus einem einzigen Anbieterkompromiss – auf eine erfahrene Operation hindeutet.

Was LastPass-Nutzer tun sollten

Da die Passwort-Tresore nicht kompromittiert wurden, müssen Nutzer als direkte Folge dieses Einbruchs keine Master-Passwörter ändern. Allerdings schaffen die gestohlenen Kontaktdaten und Support-Fallaufzeichnungen ein erhebliches Phishing-Risiko: Nutzer sollten wachsam gegenüber gezielten E-Mails oder Anrufen sein, die vorgeben, von LastPass zu stammen und auf spezifische Kontodetails verweisen. LastPass wird Nutzer nicht per E-Mail oder Telefon nach ihrem Master-Passwort fragen; jede derartige Anfrage sollte als Phishing-Versuch behandelt werden, egal wie überzeugend sie erscheint.

Die breitere Implikation betrifft das Drittanbieterrisiko. LastPass erlitt keinen direkten Einbruch – seine eigenen Systeme wurden nicht kompromittiert. Es erlitt den Einbruch eines Anbieters, der OAuth-Zugriff auf seine Kundendaten hatte, ein Angriffsvektor, der zunehmend verbreitet und schwer zu verteidigen ist, weil Organisationen routinemäßig weitreichende OAuth-Berechtigungen an SaaS-Tools vergeben, ohne kontinuierlich zu überwachen, worauf diese Token zugreifen können.