EIN großer Hack Die Auswirkungen auf den Passwort-Manager-Giganten LastPass scheinen viel schlimmer zu sein als zunächst angenommen. In einer Update-Ankündigung zwei Tage vor Weihnachten gab LastPass-CEO Karim Toubba zu, dass die Angreifer erfolgreich ein Backup der Kundentresordaten kopieren konnten. Mit diesen Daten in der Hand können die Angreifer möglicherweise auf die gesamte Sammlung von Passwörtern und anderen bei LastPass gespeicherten Daten der Benutzer zugreifen, wenn sie einen Weg finden, das Master-Passwort eines Benutzers zu erraten.
Um einen sofortigen Anstieg von Herzinfarkten zu verhindern, warnte Toubba, dass es „extrem schwierig“ sei, Master-Passwörter für Kunden, die die Standardeinstellungen und Best Practices des Unternehmens verwenden, mit Brute-Force-Methode zu erraten. Für diese Benutzer könnte es „Millionen von Jahren“ dauern, bis Angreifer diese Codes mit „allgemein verfügbarer Technologie zum Knacken von Passwörtern“ knacken, so der CEO. LastPass sagt, es sollte keinen Zugriff auf die Master-Passwörter der Benutzer haben.
Diese beruhigende Gewissheit gilt jedoch nicht unbedingt für Benutzer mit schwächeren Master-Passwörtern. In diesen Fällen riet LastPass den Benutzern, die Passwörter aller von ihnen gespeicherten Websites zu ändern könnte bedeuten, dass ein anstrengender, mühsamer Tag mit hektischem Zurücksetzen von Kontoinformationen auf Sie wartet. Und obwohl es wahr sein mag, dass starke Master-Passwörter schwierig zu erraten sind, könnten selbst die stärksten Passwörter gefährdet sein, wenn sie verwendet werden eine andere Website, die zuvor verletzt wurde. Da ist kein Mangel von zuvor gehackten Passwörtern, die nur auf Dark-Web-Märkten liegen. Betroffene LastPass-Kunden werden möglicherweise auch von lästigen Phishing-Versuchen überschwemmt, die versuchen, sie dazu zu bringen, unwissentlich ihre Schlüssel zum Königreich zu übergeben.
Zusätzlich zu den Passwörtern, sagte Toubba, enthalten die gestohlenen Tresordaten „vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten“ zusammen mit unverschlüsselten URLs. Anspruchsvolle Angriffe, The Verge Anmerkungenkönnte Informationen verwenden, die über die Websites übermittelt werden, die ein Benutzer besucht, um überzeugendere Phishing-Kampagnen zu erstellen.
LastPass reagierte nicht sofort auf die Bitte von Gizmodo um einen Kommentar.
Für ein Unternehmen, dessen Hauptdienst darin besteht, Passwörter an einem sicheren Ort zu sammeln und zu schützen, ist dies so schlimm wie es nur geht. LastPass zuerst offengelegt die jüngsten Angriffe in einem Blogbeitrag Ende letzten Monats. Damals behauptete das Unternehmen kryptisch, dass der Angreifer auf „bestimmte Elemente“ von „Kundeninformationen“ zugreifen konnte, ohne nähere Angaben zu machen. Das Unternehmen fuhr fort zu sagen, dass keine Kundenpasswörter von dem Vorfall betroffen waren, was ist technisch stimmt, aber wie wir jetzt wissen, erzählt es nur einen Teil der Geschichte.
Was die Sache noch schlimmer macht, scheint dieser jüngste Hack gewesen zu sein möglich gemacht durch einen früheren Vorfall, der nur sechs Monate zurückliegt. In diesem Fall, so das Unternehmen, habe der Angreifer anscheinend „Quellcode und technische Informationen“ aus seiner Entwicklungsumgebung gestohlen und damit gezielt einen Mitarbeiter angegriffen, um seine Zugangsdaten zu erhalten.
Sehen Sie, in einer digitalen Welt, in der Benutzer Dutzende und Aberdutzende von Anmeldeinformationen besitzen müssen, werden Passwort-Manager zunehmend zu einem Sicherheits-Muss. Gleichzeitig macht diese hohe Konzentration sensibler Informationen Passwort-Manager-Sites aus einige der köstlichsten Ziele für schlechte Schauspieler. LastPass hätte das kommen sehen sollen und hätte diese Details früher an die Kunden weitergeben müssen, wenn die Erkenntnisse verfügbar gewesen wären.