Was du wissen musst
- LastPass-Benutzer wurden nach einem Zurücksetzen der Authentifizierungs-App aus ihren Tresoren ausgeschlossen.
- Der Reset diente dazu, geplante Sicherheitsupgrades umzusetzen.
- LastPass hat den Reset-Vorgang in einem Supportdokument hervorgehoben.
- Gesperrte Benutzer können keine Tickets an das Support-Team des Unternehmens senden, da sie zunächst Zugriff auf ihre Konten benötigen.
Mehrere LastPass-Benutzer haben auf Social-Media-Plattformen ihre Frustration darüber zum Ausdruck gebracht, dass sie keinen Zugriff auf ihre Anmeldeinformationen und Benutzernamen haben. Das Problem entstand bereits im Mai dieses Jahres, als Benutzer aufgefordert wurden, die Anwendung zurückzusetzen, wie von hervorgehoben BleepingComputer.
Im Rahmen unserer geplanten Sicherheitsupgrades müssen sich Benutzer möglicherweise innerhalb der nächsten 24 Stunden erneut bei LastPass anmelden und ihre Multifaktor-Authentifizierungseinstellung zurücksetzen: https://t.co/zysFzYrL8H8. Mai 2023
LastPass gab an, dass die Aufforderung zum Zurücksetzen von Multifaktor-Authentifizierungs-Apps (MFA) wie dem Microsoft Authenticator vorhanden sei, um die für den 9. Mai geplanten Sicherheitsupgrades umzusetzen. Das Unternehmen fügte hinzu dass das Upgrade darauf ausgelegt war, „die Passwort-Iterationen zu erhöhen und eine erneute Synchronisierung der MFA aller Benutzer zu erzwingen“.
Beim Sprechen mit BleepingComputer Zu dieser Änderung gab LastPass an:
Nach den Vorfällen im Jahr 2022 haben wir E-Mails und In-Produkt-Mitteilungen an unseren Kundenstamm gesendet und ihnen empfohlen, als Vorsichtsmaßnahme ihre MFA-Geheimnisse mit ihrer bevorzugten Authenticator-App zurückzusetzen. Diese Empfehlung war auch in den Sicherheitsbulletins enthalten, die wir Anfang März an unsere B2C- und B2B-Kunden verschickten, sowie in einer zweiten E-Mail-Mitteilung Anfang April.
LastPass-Sprecher
Nach der Implementierung der Änderung gaben mehrere Benutzer an, dass sie keinen Zugriff auf ihre Tresore hatten und von ihren Konten ausgeschlossen wurden. Ein verärgerter Benutzer gab an, dass er keine Bestätigungs-E-Mails erhalten konnte, die häufig verwendet werden, um Zugriff auf LastPass-Tresore zu erhalten. Der Benutzer gab außerdem an, dass es für ihn unmöglich sei, ein Ticket zu erstellen und das Problem an das Support-Team zu richten, da er zunächst Zugriff benötigen würde.
Viele von uns sind nach dieser Änderung nicht in der Lage, zu ihren Werten zurückzukehren, da wir nicht die Bestätigungs-E-Mails erhalten, die für den erneuten Zugriff erforderlich sind. Wir können keine Support-Tickets erfassen, ohne uns anzumelden. Community-Beiträge werden nicht beantwortet. Wird uns jemand helfen?10. Mai 2023
Wie betroffene Benutzer betonten, haben Versuche, auf LastPass zuzugreifen, ihre Bemühungen vergeblich gemacht. Stattdessen werden sie immer wieder aufgefordert, ihren MFA-Authentifikator zurückzusetzen.
Die erzwungene Neusynchronisierung von MFA hindert mich jetzt daran, mich anzumelden, da LastPass den neuen MFA-Code nicht erkennt. Ich habe versucht, eine DM zu senden, aber die Nachricht wird nicht gesendet. Was ist los? Dies wirkt sich offensichtlich auf viele Benutzer aus.21. Juni 2023
Bei Community-Foren von LastPass, das Problem scheint weiter verbreitet zu sein. Beispielsweise hat ein besorgter Benutzer in dem Thread einen Fall hervorgehoben, bei dem er sein Master-Passwort verwenden und sogar seine MFA aktualisieren konnte, ihm aber dennoch der Zugriff verweigert wurde.
Am 27. Juni 2023, LastPass hat ein Supportdokument geteilt auf seiner Website im Bereich „FAQs“. Es wurde entwickelt, um Benutzern die Navigation durch den Reset-Prozess zu erleichtern und seine Bedeutung hervorzuheben. Das Unternehmen betonte außerdem, dass es „einige Wochen“ vor der Umsetzung der Änderung In-App-Nachrichten an seine Benutzer gesendet habe. Wenn Sie die App also nicht nutzen und sich auch von E-Mails abgemeldet haben, haben Sie möglicherweise die Benachrichtigung über die Änderung verpasst.
Folglich könnte die Nichtbefolgung des Reset-Prozesses, wie im Support-Dokument hervorgehoben, der Hauptgrund dafür sein, dass die meisten Benutzer über die App nicht auf ihre Informationen zugreifen können.
Der Unternehmenssprecher führte an, dass trotz Lobbyarbeit in frühen Kampagnen, die diese Änderung hervorhoben, viele Benutzer den Reset immer noch nicht vorgenommen hätten. Zu diesem Zweck ist unklar, welche zusätzlichen Schritte LastPass unternehmen wird, um diese Situation zu beheben. Jedoch, in einem BeratungsgesprächDas Unternehmen gab an, dass:
„Sie müssen sich in Ihrem Browser auf der LastPass-Website anmelden und Ihre MFA-Anwendung erneut registrieren, bevor Sie auf Ihrem Mobilgerät wieder auf LastPass zugreifen können. Eine erneute Registrierung ist mit der LastPass-Browsererweiterung oder der LastPass Password Manager-App nicht möglich.“