Der LastPass-Passwortmanager erlitt bereits im August eine Sicherheitsverletzung, die dazu führte, dass Quellcode und andere proprietäre Informationen gestohlen wurden, aber keine Kontoinformationen. Jetzt hat es gelitten Ein weiterer Verletzung, und diesmal einige Benutzerdaten war gestohlen.
LastPass kündigte das neue Sicherheitsproblem in einem Blogbeitrag an und sagte, es sei möglich, Informationen zu verwenden, die im August-Hack erhalten wurden. Das Unternehmen erklärte: „Wir haben festgestellt, dass eine unbefugte Partei unter Verwendung von Informationen, die im August 2022 erhalten wurden, Zugang zu bestimmten Elementen der Informationen unserer Kunden erlangen konnte. Die Passwörter unserer Kunden bleiben dank der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt.“
LastPass sagte nicht genau, auf welche „bestimmten Elemente“ von Kundeninformationen zugegriffen wurde. Auf Passwörter wurde (angeblich) nicht zugegriffen, was E-Mail-Adressen, Zahlungsinformationen oder etwas anderes hinterlässt. Die Ermittlungen des Unternehmens dauern noch an.
Es ist großartig zu sehen, dass LastPass bei Sicherheitsverletzungen transparent ist – viele Unternehmen halten Sicherheitsvorfälle einfach so lange wie möglich unter Verschluss – aber es ist so nicht Toll, dass ein Passwort-Manager innerhalb weniger Monate zweimal gehackt wurde. Es gab auch ein mutmaßliches Leck im Dezember 2021, bei dem einige Personen unbefugte Anmeldeversuche mit einem gestohlenen Master-Passwort hatten, aber LastPass führte dies zu einem Credential-Stuffing-Angriff, der auf Personen abzielte, die Passwörter wiederverwendeten.