Im August hatte LastPass zugelassen dass eine “unbefugte Partei” Zugang zu seinem System erlangt hat. Jede Nachricht über einen gehackten Passwort-Manager kann alarmierend sein, aber das Unternehmen versichert seinen Benutzern jetzt, dass ihre Logins und andere Informationen in dem Fall nicht kompromittiert wurden.
In seinem neuestes Update Karim Toubba, CEO von LastPass, sagte zu dem Vorfall, dass die Untersuchung des Unternehmens mit der Cybersicherheitsfirma Mandiant ergeben habe, dass der schlechte Schauspieler vier Tage lang internen Zugriff auf seine Systeme hatte. Sie konnten einen Teil des Quellcodes und technische Informationen des Passwort-Managers stehlen, aber ihr Zugriff war auf die Entwicklungsumgebung des Dienstes beschränkt, die nicht mit Kundendaten und verschlüsselten Tresoren verbunden ist. Darüber hinaus wies Toubba darauf hin, dass LastPass keinen Zugriff auf die Master-Passwörter der Benutzer hat, die zum Entschlüsseln ihrer Tresore benötigt werden.
Der CEO sagte, es gebe keine Beweise dafür, dass dieser Vorfall „einen Zugriff auf Kundendaten oder verschlüsselte Passworttresore beinhaltete“. Sie fanden auch keine Hinweise auf unbefugte Zugriffe über diese vier Tage hinaus und auf irgendwelche Spuren, dass der Hacker Schadcode in die Systeme eingeschleust hätte. Toubba erklärte, dass der Angreifer in der Lage war, die Systeme des Dienstes zu infiltrieren, indem er den Endpunkt eines Entwicklers kompromittiert. Der Hacker verkörperte dann den Entwickler, „sobald der Entwickler sich erfolgreich mit Multi-Faktor-Authentifizierung authentifiziert hatte“.
Im Jahr 2015 erlitt LastPass eine Sicherheitslücke, bei der die E-Mail-Adressen, Authentifizierungs-Hashes, Passworterinnerungen und andere Informationen der Benutzer kompromittiert wurden. Ein ähnlicher Verstoß wäre heute noch verheerender, da der Dienst angeblich über 33 Millionen registrierte Kunden hat. Während LastPass die Benutzer diesmal nicht auffordert, etwas zu tun, um ihre Daten zu schützen, ist es immer eine gute Praxis, Passwörter nicht wiederzuverwenden und die Multi-Faktor-Authentifizierung zu aktivieren.
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung korrekt.