LastPass: Beim Passwort-Manager wurde eingebrochen

Nutzer des Passwort-Managers LastPass sollten dringend das verwendete Master-Passwort ändern. Der Anbieter zur Verwaltung und Speicherung von Passwörtern ermöglicht das zentralisierte Verwalten und Synchronisieren von Passwörtern über mehrere Geräte hinweg. Jetzt wurde bekannt gegeben, dass verdächtige Aktivitäten im eigenen Netzwerk entdeckt wurden.

Zum Einbruch gibt es von LastPass ein Statement, dass den Vorgang sowie die Art der gestohlenen Daten beschreibt. Zusätzlich wird erklärt, welche Maßnahmen von LastPass ergriffen werden um die Daten der Anwender zu schützen.

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

Es konnte nicht festgestellt werden, dass die Daten der „Vaults“ – also die verschlüsselten Passwort-Tresore der Benutzer – in die Hände der Diebe gelangt sind. Ebenfalls wurden auch nicht auf die Accounts der Benutzer zugegriffen. Allerdings wurden die E-Mail-Adressen, die Passwort-Erinnerungen und die Authentifizierung-Hashes erbeutet.

Passwort-Manager LastPass Logo (Bild: Press Images LastPass).
Passwort-Manager LastPass Logo (Bild: Press Images LastPass).

LastPass: Beim Passwort-Manager wurde eingebrochen

LastPass geht davon aus, dass die eigenen Sicherheitsmaßnahmen ausreichend sind, um die Mehrheit der Benutzer zu schützen, wird jedoch zusätzliche Maßnahmen ergreifen, um die Sicherheit der Daten von LastPass Benutzern sicherzustellen. Jedoch werden alle Benutzer aufgefordert ihr Master-Passwort zu ändern. Dieses sollte ebenfalls bei den Diensten geändert werden, die das gleiche Passwort wie das Master-Passwort verwenden.

Zusätzlich werden alle Nutzer, die erstmalig von einer neuen IP oder einem neuen Gerät auf LastPass zugreifen aufgefordert, ihre Identität via E-Mail zu bestätigen. Inbesondere dieser Schritt ist kritisch zu bewerten, wurden doch die Benutzer-Email-Adressen geklaut. Hier sollten Anwender erhöhte Vorsicht gegenüber E-Mails von LastPass walten lassen. Betrüger könnten die Arglosigkeit für sich ausnutzen.

Quelle: LastPass Blog

Kommentar verfassen