Der LastPass-Hack vom November letzten Jahres nutzte eine Sicherheitslücke in Plex aus, die bereits im Mai 2020 geschlossen wurde, wie PCMag herausfand. Der Hack hätte verhindert werden können, wenn der Mitarbeiter, auf dessen Heimcomputer die Malware installiert war, die Software aktualisiert hätte.
Es handelte sich um die Sicherheitslücke CVE-2020-5741 in der Software Plex Media Server, schreibt PCMag. Über die Kamera-Upload-Funktion konnten Angreifer den Server dazu bringen, bösartigen Code auszuführen. Dazu mussten die Angreifer allerdings bereits über Administratorrechte für das Plex-Konto des LastPass-Mitarbeiters verfügen. Wie sie das geschafft haben, ist nicht bekannt. Nachdem der Devops-Programmierer von LastPass die Malware installiert hatte, konnten die Hacker die Tastenanschläge des Opfers aufzeichnen, um das Master-Passwort herauszufinden. Der LastPass-Mitarbeiter genehmigte dann selbst den Antrag auf Multifaktor-Authentifizierung.
In einer Stellungnahme erklärte Plex gegenüber PCMag, dass ein Patch für die Sicherheitslücke im Mai 2020 veröffentlicht wurde, der betreffende Mitarbeiter die Software jedoch nie aktualisiert hat. Seitdem wurden bereits 75 neue Softwareversionen von Plex veröffentlicht. Es ist unklar, warum der Programmierer die Software in all dieser Zeit nicht aktualisiert hat, zumal viele der Updates automatisch erfolgen sollten.
Über diesen leitenden Devops-Programmierer verschafften sich die Angreifer im vergangenen Jahr Zugang zu den Cloud-Backups von Lastpass, die Kundendaten wie mfa-Seeds und identifizierbare Informationen enthielten, teilte LastPass letzte Woche mit. Außerdem wurden fünf Blobs aus den Backups von Kunden heruntergeladen, die zwischen dem 20. August und dem 8. September ein Konto hatten. Diese Blobs enthielten verschlüsselte Felder für Passwörter und unverschlüsselte Felder für z. B. URL-Namen.