LastPass hat eine ausführliche Erklärung zu dem Sicherheitsverstoß vor einigen Monaten abgegeben. Einfach ausgedrückt: Die Dinge sind nicht gut.
Vor ein paar Wochen gab LastPass in seinem Blog eine Erklärung ab, in der es dies mitteilte einen Verstoß erlebt. Damals ging Karim Toubba, der CEO von LastPass, nicht auf alle Details ein, sondern teilte lediglich mit, dass es bei einem Cloud-Speicherdienst eines Drittanbieters, den LastPass nutzt, zu einem Sicherheitsvorfall gekommen sei. Jetzt gibt das Unternehmen eine detaillierte Aufschlüsselung der Vorfälle, und die ist nicht gut.
Toubba nutzte erneut den Blog des Unternehmens, um seine Erkenntnisse zu dem Vorfall mitzuteilen. Dem Beitrag zufolge seien bei diesem Angriff keine Kundendaten betroffen, sondern „Quellcode und technische Informationen“ gestohlen worden. Leider hat der Angreifer mit diesen Informationen dann einen Mitarbeiter ins Visier genommen und Zugangsdaten und Schlüssel erhalten, die zum Entschlüsseln und Zugreifen auf Informationen im Cloud-basierten Speicherdienst verwendet wurden.
Von hier aus konnte der Angreifer auf Kontoinformationen wie „Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen von denen“ zugreifen Kunden griffen auf den LastPass-Dienst zu.“ Darüber hinaus wurden Kunden-Tresordaten abgerufen, die verschlüsselte „Website-Benutzernamen und Passwörter, sichere Notizen usw.“ enthielten Formulargefüllte Daten.“
Sie fragen sich vielleicht: Was bedeutet das alles genau?
Nun, es gibt gute und schlechte Nachrichten. Die gute Nachricht ist, dass die erfassten Daten verschlüsselt waren und zum Entschlüsseln das Master-Passwort des Benutzers erforderlich sind. Die schlechte Nachricht ist, dass der Angreifer, wenn er Zeit hat, so viele Passwörter wie nötig durchgehen und ausprobieren kann, um die Daten zu entschlüsseln. LastPass räumt zwar ein, dass dies eine Möglichkeit ist, gibt jedoch an, dass es „extrem schwierig“ wäre, solange das Passwort selbst eins ist kompliziert.
LastPass warnt außerdem davor, dass Phishing-Angriffe häufiger auftreten könnten, um Kunden zu überraschen und Master-Passwörter zu erschleichen. Was jetzt getan werden kann, ist, dass es wirklich nur darum geht, auf der Hut zu bleiben und nicht Opfer von Phishing-Versuchen zu werden. Wenn es ungewöhnlich oder verdächtig erscheint, recherchieren Sie es. LastPass verlangt seit geraumer Zeit mindestens 12-stellige Passwörter. Aber es kann zu Verstößen wie diesen kommen, und wenn sie passieren, werden die Dinge tatsächlich relativiert.
Das Unternehmen versucht jedoch, eine gewisse Sicherheit zu geben und gibt an, dass es Millionen von Jahren dauern würde, ein komplexes Passwort zu erraten. Das sollte Sie natürlich nicht beruhigen, da sich da draußen jemand befindet, der über Ihre verschlüsselten Daten verfügt. LastPass hat Änderungen an seiner Infrastruktur vorgenommen, um Verstöße in Zukunft zu verhindern, und hat Geschäftskunden mit hohem Risiko mit Anweisungen kontaktiert.
Quelle: LastPass