Passwort-Dienst sperrt Hacker aus

Der Passwort-Service Lastpass sperrt kurzerhand die IP-Adressen von Anwendern, die die Sicherheitsvorkehrungen der Seite testen. Dabei kann es dann durchaus auch zu Kollateralschäden kommen.

In Pocket speichern vorlesen Druckansicht 190 Kommentare lesen
Lesezeit: 3 Min.

Der Passwort-Service Lastpass sperrt die IP-Adressen von Anwendern, die die Sicherheitsvorkehrungen der Seite testen. Dabei kann es dann durchaus auch zu Kollateralschäden kommen. Lastpass bietet eine zentrale Speichermöglichkeit für Passwörter, die dann durch Erweiterungen und Apps über Browser- und Plattformgrenzen hinweg auf allen Geräten zur Verfügung stehen.

Aufgefallen war die eher ungewöhnliche Sicherheitsmaßnahme, als ein c't-Redakteur in Vorbereitung eines Artikels routinemäßig ein paar Eingabefelder mit Zeichenketten fütterte, die Hinweise auf XSS- beziehungsweise SQL-Injection-Probleme auf der Seite geben würden. Derartige Sicherheitslücken sind leider nach wie vor weit verbreitet und wären für einen zentralen Passwortspeicher unverzeihlich. Kurze Zeit später sah ein Kollege beim Aufruf der Lastpass-Web-Site nur noch den Hinweis, dass seine IP-Adresse wegen verdächtiger Aktivitäten gesperrt sei.

Da alle Verlagsangestellten über einen gemeinsamen Proxy ins Internet gelangen, war es dessen IP-Adresse, die auf der schwarzen Liste gelandet war, was dann auch prompt gleich alle Heise-Mitarbeiter aussperrte. Sie wurde jedoch nach einem kurzen E-Mail-Austausch wieder freigeschaltet. Es stellt sich jedoch die Frage, ob eine derartige schwarze Liste tatsächlich geeignet ist, die Sicherheit eines Dienstes zu erhöhen. Lastpass hatte dieses Vorgehen offenbar erst eingeführt, nachdem im Internet eine XSS-Lücke auf den Web-Seiten des Dienstes veröffentlicht wurde, die Lastpass am nächsten Tag – einem Sonntag – geschlossen hat.

Gegenüber heise Security versicherte Joe Siegrist von Lastpass, dass man grundsätzlich nichts dagegen habe, wenn Anwender die Seite testen. Aber man wolle sicher gehen, dass sie eventuelle Probleme dann zuerst bei ihnen melden. Außerdem sollten sie sich dessen bewusst sein, dass sie damit Alarm auslösen. Es bleibt natürlich das beobachtete Problem, dass nicht nur der Verantwortliche gesperrt wird, sondern auch unbeteiligte Dritte, die über die gleiche NAT-Firewall oder einen gemeinsamen Proxy ins Internet gehen. Das trifft nicht nur Firmennetze. Auch Nutzer von Mobilfunk-Providern werden fast immer über solche Vermittlungsstellen geleitet, wenn sie ins Internet gehen. Wenige schwarze Schafe könnten damit ganze Providernetze aussperren.

Darüber hinaus besteht die Gefahr, dass böswillige Missetäter in Web-Seiten Code einbetten, der Lastpass-URLs mit XSS-typischen Sequenzen abruft. Diese werden dann beim Betrachten einer scheinbar harmlosen Seite ohne weiteres Zutun des Anwenders von dessen Browser abgerufen und lösen bei Lastpass Alarm aus. Laut Siegrist sei diese Gefahr jedoch gering, da die Sperren nicht etwa automatisiert durch ein Intrusion Detection System sondern manuell ausgelöst würden. Außerdem seien die Erweiterungen und Apps nicht betroffen, sodass die Anwender nach wie vor Zugang zu ihren gespeicherten Passwörtern hätten. "Essentially we're making it clear to hackers that we refuse to be an easy target" – sie wollen kein einfaches Ziel für Hacker abgeben, fasst Siegrist den Sinn der Maßnahme zusammen. (ju)