LastPass, einer der weltweit beliebtesten Passwort-Manager, hatte kürzlich eine schwere Datenschutzverletzung, wie LastPass selbst berichtet: https://blog.lastpass.com/2022/12/notice-of-recent-security–incident/.
LastPass gab bekannt, dass, obwohl nicht auf die Klartext-Passwörter der Benutzer zugegriffen wurde, die Hacker die folgenden Informationen erhielten:
- Website-URLs für die gespeicherten Passwörter des Benutzers
- Endnutzernamen
- Rechnungsadressen
- E-Mailadressen
- Telefonnummern
- Firmennamen
- IP-Adressen, von denen aus Kunden auf den LastPass-Dienst zugegriffen haben.
Die Hacker erhielten auch verschlüsselte Passwörter von LastPass-Benutzern für jede gespeicherte Anmeldung. Der Verschlüsselungsschutz ist stark, SOLANGE das für LastPass verwendete Master-Passwort stark war. Zusammenfassend lässt sich sagen, dass Ihr LastPass-Passwort mindestens 12 Zeichen lang sein sollte (der aktuelle LastPass-Standard), etwas komplex und kein leicht zu erratendes Passwort ist und nicht auf einer anderen Website oder einem anderen Dienst verwendet wird. Wenn nicht, müssen Sie sofort alle Ihre Passwörter ändern, sowohl das LastPass-Masterpasswort als auch alle Passwörter, die Sie in LastPass gespeichert haben.
Die gestohlenen Klartextinformationen (siehe oben) sind jedoch unglaublich nützlich für jeden Hacker, der Social Engineering und Phishing Angriffe durchführt . Es ermöglicht einem Angreifer, ein potenzielles Opfer unter Verwendung von Informationen, die der allgemeinen Öffentlichkeit und anderen Hackern nicht bekannt sind, gezielt anzugreifen (z. B. Spear-Phishing). Beispielsweise kann ein Phisher mit einer Liste der Websites, auf denen sich jemand anmeldet, bestimmte Phishing-E-Mails erstellen, die vorgeben, von dieser Website zu stammen. Es könnte den Namen, die Telefonnummer und die Postanschrift des Benutzers enthalten. Jedes hinzugefügte Detail verstärkt den Schleier falscher Legitimität einer Social-Engineering-E-Mail. Jedes enthaltene Detail erhöht den Prozentsatz der Menschen, die Opfer werden.
Die Kenntnis der Telefonnummern von Personen und deren Websites eröffnet eine Möglichkeit für einen gefälschten Anruf beim technischen Support. Postanschriften können ausgeklügelte Betrügereien per Post ermöglichen. Hier ist ein dreistes Beispiel für einen solchen Betrug: https://www.nasdaq.com/articles/inside-the-scam%3A-victims-of-ledger-hack-are-receiving-fake-hardware-wallets-2021-06 -17 . Die Arten von Spear-Phishing-Betrug, die mit den bei der LastPass-Verletzung gestohlenen Informationen erstellt und übermittelt werden können, sind grenzenlos.
Ein großes Lob an LastPass dafür, dass sichergestellt wurde, dass die wichtigsten Benutzerinformationen, die Passwörter der Benutzer, in verschlüsseltem Zustand gespeichert wurden. Aber dieser Verstoß, wie alle anderen davor, wirft die Frage auf, welche Art von Benutzerinformationen als „kritische Informationen“ betrachtet und immer in verschlüsseltem Zustand gespeichert werden sollten oder nicht. Wenn die Informationen verwendet werden können, um Sie zu identifizieren oder zu kontaktieren, sollten sie wahrscheinlich standardmäßig verschlüsselt werden.
LastPass-Benutzer waren erleichtert, als sie erfuhren, dass ihre gespeicherten Passwörter nicht direkt kompromittiert wurden, aber welche Informationen von den Hackern gestohlen wurden, wird wahrscheinlich in den kommenden Jahren Auswirkungen auf Spear-Phishing haben.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.