LastPass war früher einer der besten Passwort-Manager, aber in letzter Zeit hat sein Ruf durch mehrere Sicherheitsverletzungen gelitten. Jetzt hat das Unternehmen bestätigt, dass es der letzte war Ja wirklich Schlecht.
LastPass erlitt bereits im August eine Sicherheitsverletzung, als sich ein Hacker Zugang zu Entwicklungsumgebungen verschaffte und Quellcode und andere proprietäre Informationen stehlen konnte. Später im Dezember bestätigte LastPass, dass ein Hacker diese Daten verwenden konnte, um „Zugang zu bestimmten Elementen unserer Kundeninformationen zu erhalten“. Das Unternehmen hat bisher nicht klargestellt, was „bestimmte Elemente“ bedeuten.
LastPass hat gerade nach einer „laufenden Untersuchung“ das volle Ausmaß des Angriffs offengelegt. Der Hacker konnte mithilfe von Daten aus der Sicherheitsverletzung im August auf eine Cloud-Speicherumgebung zugreifen, die „grundlegende Kundenkontoinformationen und zugehörige Metadaten einschließlich Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und IP-Adressen“ enthielten von dem aus Kunden auf den LastPass-Dienst zugegriffen haben.“ Kreditkarteninformationen wurden offenbar nicht abgerufen.
Das Schlimmste ist, dass der Hacker erfolgreich Tresordaten von LastPass kopiert hat, obwohl das Unternehmen es als „Backup“ bezeichnete, sodass nicht klar ist, wie alt die Daten sind. Das Unternehmen behauptet, dass die tatsächlichen Passwörter immer noch sicher sind, da sie eine 256-Bit-AES-Verschlüsselung basierend auf dem Master-Passwort einer Person verwenden. Wenn jedoch das Master-Passwort einer Person erlangt werden kann (z. B. mit einer Phishing-E-Mail, die eine LastPass-Anmeldeseite nachahmt), ist es möglich, die verschlüsselten Daten zu entsperren und alle Passwörter einer Person anzuzeigen.
Auch ohne das Master-Passwort könnten die durchgesickerten Daten für einige LastPass-Benutzer schädlich sein. Namen und Rechnungsadressen können für weitere Angriffe verwendet werden, und die Website-Adressen für gespeicherte Passwörter wurden nicht verschlüsselt. Jemand mit den durchgesickerten Daten könnte alle Websites sehen, die mit Passwörtern verknüpft sind, und diese dann für gezielteres Phishing verwenden. Wenn jemand beispielsweise ein Passwort für die Website der Bank of America hat, hat er dort möglicherweise ein Konto und wäre ein hervorragendes Ziel für Phishing-E-Mails, die wie Kontowarnungen der Bank aussehen.
Dies ist so ziemlich der schlimmste Sicherheitsvorfall, den man sich für einen Passwort-Manager wie LastPass vorstellen kann – fast alle Daten im Besitz des Unternehmens wurden kopiert. Die clientseitige Verschlüsselung hat jedes Passwort vor dem Diebstahl bewahrt, aber wie bereits erwähnt, genügt ein schwaches Master-Passwort oder ein Phishing-Angriff, um diese Daten für ein Konto freizuschalten. Das zusammen mit a schlechte Erfolgsbilanz bei der Reaktion auf Sicherheitsprobleme und mehrere andere kürzliche Verstöße, ist eine gute Begründung, die Verwendung von LastPass einzustellen.
Wenn Sie LastPass verwenden, sollten Sie Ihr Master-Passwort so schnell wie möglich ändern und in den kommenden Wochen und Monaten nach lückenhaft aussehenden E-Mails Ausschau halten. Sie sollten auch erwägen, jedes in LastPass gespeicherte Passwort zu ändern – Hacker haben jetzt (wahrscheinlich) auch diese Daten, sie können sie im Moment einfach nicht entsperren.
Quelle: LastPass