Passwortverwaltungsdienst LastPass am Donnerstag bekannt gegeben mehr Details über Novemberbruchwodurch bestätigt wurde, dass grundlegende Kundeninformationen offengelegt wurden, jedoch keine kritischen Daten wie Passwörter oder Kreditkartendaten.
Die Verletzung Ende November resultierte aus einer älteren im August, als böswillige Akteure in eine der Back-End-Codebasen von LastPass einbrachen. Sie stahlen Unternehmensdaten, die dann kürzlich verwendet wurden, um in eine andere LastPass-Datenbank einzubrechen, um unverschlüsselte Kundendaten wie Namen, E-Mail- und Rechnungsadressen, Telefonnummern und IP-Adressen zu erfassen. Es wurden keine unverschlüsselten Kreditkartendaten offengelegt.
Sensiblere Daten wie Benutzernamen und Passwörter wurden ebenfalls gestohlen, aber da diese standardmäßig hinter einem Master-Passwort verschlüsselt sind, das nicht auf den Servern von LastPass gespeichert ist, ist es sehr unwahrscheinlich, dass sie offengelegt werden.
Andere Angreifer könnten immer noch Zugriff auf diese sensiblen Daten erhalten, wenn Benutzer ihre Master-Passwörter leichter zu erraten machen, z. B. wenn sie zum Anmelden bei anderen Websites verwendet werden, oder wenn sie Phishing- oder Social-Engineering-Schemata zum Opfer fallen. Wenn sie ihr Master-Passwort gemäß den Best Practices von LastPass eingerichtet haben, die sie in a Blogeintrag Offenlegung des Bruchs, es würde “Millionen von Jahren” dauern, um es zu erraten.
Während Hacks immer häufiger werden, zeigte diese Veranstaltung zwei wichtige Punkte über moderne Cyberkriminalität. Erstens könnte ein anfänglicher Verstoß, der typische Benutzer nicht betrifft, zu einem weiteren führen, der dies tut, und zweitens bedeutet die Entscheidung von LastPass, Benutzer-Master-Passwörter niemals zu speichern, dass gestohlene Unternehmensinformationen nicht in verschlüsselte Benutzerdaten eindringen können – zumindest bis jetzt wie wir wissen.