Der Lastpass-Hack war schlimmer, als das Unternehmen zuerst berichtete

Nachdem die Passwort-Manager-App Lastpass im August zum zweiten Mal in ebenso vielen Jahren gehackt wurde, gab sie am Donnerstag bekannt, dass der jüngste Angriff viel schädlicher war als ursprünglich gemeldet, da die Angreifer in einigen Fällen mit den Passwort-Tresoren der Benutzer davongekommen waren. Das bedeutet, dass die Diebe über die gesamten Sammlungen verschlüsselter persönlicher Daten von Personen verfügen, wenn nicht sogar über die unmittelbare Methode, sie zu entsperren.

„Während des Vorfalls im August 2022 wurde auf keine Kundendaten zugegriffen“, erklärte Karim Toubba, CEO von LastPass. Ein Teil des Quellcodes der App wurde jedoch gestohlen und dann verwendet, um einen Lastpass-Mitarbeiter dazu zu bringen, seine Zugangsdaten preiszugeben, und dann diese Schlüssel verwendet, um „einige Speichervolumes innerhalb des Cloud-basierten Speicherdienstes“ zu entschlüsseln und zu kopieren.

Zu den von den Hackern erhaltenen verschlüsselten Daten gehörten grundlegende Kundenkontoinformationen wie Firmennamen, Rechnungs-, E-Mail- und IP-Adressen; und Telefonnummern, fuhr Toubba fort. „Diese verschlüsselten Felder bleiben mit 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird“, sagte Toubba. „Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch gepflegt.“

Trotzdem, wirst du dem Unternehmen beim Wort glauben? Ich bin nicht. Es wird mühsam sein, aber das Austauschen aller Ihrer verschiedenen vorhandenen Site-Passwörter gegen neue – sowie das Auswählen eines neuen Master-Passworts – könnte sich letztendlich als notwendig erweisen, um Ihre Online-Sicherheit wiederherzustellen. Oder Sie können Lastpass einfach sagen, dass es losgehen und zu 1Password oder Bitwarden wechseln soll.