Quellcode erbeutet Hacker greifen LastPass-Passwortmanager an
26.08.2022, 19:00 Uhr
Der weit verbreitete Passwort-Manager LastPass hat den Diebstahl von Teilen seines Quellcodes gemeldet. Das Unternehmen teilt auch die Auswirkungen für seine Kunden mit.
Viele Leute verwenden Passwort-Manager, um sich nicht alle Zugangsdaten für den Internetzugang merken zu müssen. Dies sind Programme, die alle Kombinationen verschlüsselt in einem virtuellen Safe aufbewahren, Sie müssen sich nur das Passwort für den Manager merken. Dies erhöht im Allgemeinen die Sicherheit, da Benutzer dazu neigen, komplexe Kombinationen zu verwenden, die schwer zu knacken sind. Aber einem wird schlecht, wenn man liest, dass der Passwort-Manager selbst von Hackern angegriffen wurde. Genau das ist LastPass passiert, einem der meistgenutzten Credential Stores der Welt.
Vor zwei Wochen seien in Teilen der LastPass-Entwicklungsumgebung ungewöhnliche Aktivitäten aufgefallen, schrieb CEO Karim Touba in einem Blogbeitrag. Untersuchungen ergaben, dass Unbekannte Teile des Quellcodes und einige der privaten technischen Informationen von LastPass über ein kompromittiertes Entwicklerkonto gestohlen haben.
Weder Master-Passwörter noch Benutzerdaten wurden gestohlen
Tuba betonte jedoch, dass keine Beweise dafür gefunden wurden, dass die Angreifer Zugriff auf Kundendaten oder verschlüsselte Passwortspeicher hatten. LastPass beauftragte ein führendes Unternehmen für Cybersicherheit und Forensik mit der weiteren Untersuchung und Implementierung zusätzlicher Sicherheitsmaßnahmen.
Laut beigefügter FAQ könnten Hacker die Master-Passwörter keinesfalls erbeuten, da die sogenannte Zero-Knowledge-Architektur dafür sorgt, dass sie niemanden außer den Benutzern kennen können. Aus dem gleichen Grund wurden keine im Tresor gespeicherten Daten kompromittiert. Darüber hinaus ergaben die Ermittlungen keine Hinweise auf einen Diebstahl persönlicher Benutzerdaten. Die Bereinigung geht so weit, dass LastPass seinen Kunden kein weiteres Vorgehen empfiehlt.
Nicht der erste Angriff
Dies ist nicht das erste Mal, dass LastPass gehackt wurde. Im vergangenen Winter versuchten Angreifer offenbar, mit von anderen Hacks gestohlenen Passwörtern Zugang zu Benutzertresoren zu erhalten. Auch hier scheint es, dass der Inhalt des Tresors nie kompromittiert wurde, während Kunden ein einmaliges Master-Passwort verwendeten, laut einer Erklärung des Unternehmens gegenüber Appleinsider.
Die Stiftung Warentest hat erst im Juni bestätigt, dass LastPass sicher ist. Nur zwei von 16 Testkandidaten bescheinigten sehr gute Sicherheitsmerkmale. Da die Verarbeitung etwas aufwändig ist und der Produkttest sehr deutliche Mängel in der Datenschutzerklärung feststellte, erhielt LastPass nur eine zufriedenstellende Gesamtnote.
Add Comment