Was du wissen musst
- Laut LastPass sind die Passwort-Tresore der Kunden in die Hände von Cyberkriminellen geraten.
- Die Hacker nutzten Informationen, die sie aus einem früheren Vorfall erhalten hatten, den LastPass im vergangenen August offengelegt hatte.
- Master-Passwörter bleiben sicher und LastPass sagt, dass es Millionen von Jahren dauern wird, bis Hacker sie erraten.
Die von LastPass im August aufgedeckte Sicherheitslücke ist schlimmer als bisher angenommen. LastPass hat bestätigt, dass Cyberkriminelle Informationen aus dem vorherigen Vorfall genutzt haben, um an verschlüsselte Passwort-Tresore und andere Kundendaten zu gelangen.
Entsprechend der neuestes Update Über den Passwort-Manager konnten Hacker „ein Backup der Kundentresordaten aus dem verschlüsselten Speichercontainer kopieren“, was enthielt sowohl unverschlüsselte Daten wie URLs als auch verschlüsselte Datenfelder wie Website-Benutzernamen und Passwörter, sichere Notizen und ausgefüllte Formulare Daten.
LastPass teilte im August mit, dass sich Hacker zwar Zugang zu Teilen seiner Entwicklungsumgebung verschafft hätten, Kundendaten jedoch nicht kompromittiert worden seien. Einige Monate später enthüllte das Unternehmen, dass „bestimmte Elemente“ der Kundendaten enthalten seien
von dem Sicherheitsvorfall tatsächlich betroffen waren.Bedrohungsakteure verschafften sich Zugriff auf den Quellcode und andere technische Daten und nutzten diese Informationen, um das Konto eines LastPass-Entwicklers zu kompromittieren. Als Folge des Vorfalls stahlen die Hacker schließlich Sicherungskopien der Passwort-Tresore der Benutzer.
Glücklicherweise können Cyberkriminelle die verschlüsselten Passwort-Tresore nicht ohne die Master-Passwörter entsperren, die nur Kontoinhaber kennen. Das Unternehmen betont, dass Master-Passwörter durch seine Zero-Knowledge-Architektur geschützt sind, was bedeutet, dass nicht einmal LastPass davon weiß.
Allerdings hat LastPass seine Kunden gewarnt, dass die Hacker „versuchen könnten, mit roher Gewalt Ihr Master-Passwort zu erraten.“ Entschlüsseln Sie die Kopien der Tresordaten, die sie mitgenommen haben.“ Dies ist wahrscheinlich angesichts der Tatsache, dass sich die Passwort-Tresore jetzt in den Händen der Bedrohung befinden Schauspieler.
Zusätzlich zu den Passwort-Tresoren verschafften sich Hacker Zugriff auf einen Datenschatz, darunter Namen, E-Mail-Adressen, Telefonnummern und einige Rechnungsinformationen. Betroffene LastPass-Kontoinhaber sind möglicherweise auch anfällig für „Phishing-Angriffe, Anmeldeinformationen“. Stuffing oder andere Brute-Force-Angriffe auf Online-Konten", die mit ihrem LastPass verknüpft sind Gewölbe.
Diese Sicherheitsverletzung erinnert daran, dass selbst die beste Passwort-Manager sind anfällig für Angriffe. Es ist immer eine gute Idee, niemals für alle Ihre Online-Konten dasselbe Passwort zu verwenden. In diesem Fall empfiehlt LastPass, Ihr Master-Passwort nicht auf anderen Websites zu verwenden. Besser noch: Es wird empfohlen, dass Sie Ihr aktuelles LastPass-Master-Passwort durch eine eindeutige Kombination ersetzen und Ihr Konto damit schützen Zwei-Faktor-Authentifizierung.