Nun, es ist schlecht. LastPass hat eine Kopie der verschlüsselten Passwortdaten von Kunden an einen Hacker verloren, der kürzlich in die Systeme des Unternehmens eingedrungen ist.
Der Hacker erbeutete die Passwortdaten, indem er während des Eindringens LastPass eine „Sicherung der Kundentresordaten“ aus einem verschlüsselten Speichercontainer kopierte sagte(Öffnet in einem neuen Fenster) am Donnerstag.
Das Unternehmen lieferte das Update drei Wochen, nachdem LastPass bekannt gegeben hatte, dass es einen Verstoß erlitten hatte, der dazu führte, dass der Hacker Kundeninformationen stahl. Damals war unklar, welche Benutzerdaten abgefangen wurden, aber jetzt enthüllt LastPass, dass die Verletzung so schlimm wie möglich ist.
Die gestohlenen Tresordaten enthielten „vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten“ zusammen mit unverschlüsselten Website-URLs.
LastPass betont, dass die gestohlenen Tresordaten geschützt bleiben, da sie mit einer 256-Bit-AES-Verschlüsselung gesichert wurden. Um die Daten zu entschlüsseln, benötigt der Hacker das Master-Passwort des Tresors – etwas, das nur der Kunde wissen sollte. „Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch gepflegt“, so das Unternehmen.
Das Problem ist, dass der Hacker verschiedene Wege ausnutzen könnte, um an das Master-Passwort eines Kunden zu gelangen. Dies könnte den Versuch beinhalten, es mithilfe von Brute-Force-Angriffen zu erraten. LastPass sagt jedoch, dass dies unglaublich schwierig wäre, wenn der Kunde ein komplexes Passwort verwendet hätte. Als Sicherheitsmaßnahme verlangt LastPass außerdem ein Master-Passwort, das mindestens 12 Zeichen lang sein muss.
(Foto von Leon Neal/Getty Images)
Die andere Möglichkeit, wie ein Hacker ein Master-Passwort stehlen könnte, ist jedoch das Phishing von Kunden. Dies könnte das Versenden gefälschter E-Mails oder Textnachrichten beinhalten, die vorgeben, LastPass zu sein, um ahnungslose Benutzer dazu zu bringen, die Anmeldeinformationen preiszugeben.
Während der Verletzung erhielt der Hacker auch „grundlegende Kundenkontoinformationen“, einschließlich E-Mail-Adressen, Telefonnummern, Rechnungsadresse und IP-Adressen – was es dem Täter erleichtert, einzelne Benutzer anzugreifen.
Um sich vor solchem Phishing zu schützen, teilt LastPass den Benutzern mit: „Es ist wichtig zu wissen, dass LastPass Sie niemals anrufen, per E-Mail oder Textnachricht kontaktieren und Sie auffordern wird, auf einen Link zu klicken, um Ihre persönlichen Daten zu überprüfen. Außer wenn Sie sich von einem LastPass-Client aus bei Ihrem Tresor anmelden, wird LastPass Sie niemals nach Ihrem Master-Passwort fragen.“
Von unseren Redakteuren empfohlen
Der Hacker konnte LastPass infiltrieren, indem er bereits im August Quellcode und technische Daten des Unternehmens stahl. Die gestohlenen Informationen ebneten dem Täter dann einen Weg, einen LastPass-Mitarbeiter zu hacken und seine Anmeldeinformationen und Sicherheitsschlüssel zu stehlen, um auf Dateien aus dem Cloud-basierten Speicherdienst des Unternehmens zuzugreifen.
Der Cloud-basierte Speicher wird getrennt von den Produktions-IT-Systemen von LastPass betrieben. Dennoch enthält es Backups der Firmendaten.
Als Reaktion auf den Verstoß gibt LastPass an, alle Anmeldeinformationen für Unternehmen im gesamten Unternehmen zurückgesetzt zu haben. „Wir führen auch eine umfassende Analyse jedes Kontos mit Anzeichen verdächtiger Aktivitäten innerhalb unseres Cloud-Speicherdienstes durch und fügen zusätzliche Sicherheitsvorkehrungen in dieser Umgebung hinzu“, hieß es.
Trotzdem riskiert der Hack, das Vertrauen in den Passwort-Manager-Anbieter zu untergraben. LastPass teilt Kunden mit, dass keine empfohlenen Maßnahmen ergriffen werden müssen, wenn ihr Master-Passwort komplex ist und folgt empfohlene Vorgehensweise(Öffnet in einem neuen Fenster). Aber um noch sicherer zu sein, können betroffene Benutzer erwägen, alle wichtigen Passwörter zu ändern, die in ihrem Tresor gespeichert sind, und die Zwei-Faktor-Authentifizierung über die entsprechenden Internetkonten aktivieren.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.