Der Passwort-Manager LastPass muss sich mit einem weiteren Datenleck auseinandersetzen. Dieses Mal sind dabei auch Nutzerinformationen offengelegt worden, wie LastPass-CEO Karim Toubba in einem Blogeintrag erklärt. Hacker hatten auf einen Cloud-Speicherdienst eines Drittanbieters zugegriffen, der von dem Passwort-Manager genutzt wird. So konnten sie „Zugang zu bestimmten Elementen“ der „Kundeninformationen“ erlangen.
Aktuell ist noch nicht klar, auf welche Informationen die Hacker zugreifen konnten und wie viele Nutzer bzw. Nutzerinnen des Passwort-Managers betroffen sind. Karim Toubba gibt aber an, dass die Passwörter der User dank LastPass’ „Zero Knowledge“-Architektur weiterhin sicher verschlüsselt seien. Diese Richtlinien besagen, dass nur der Nutzer oder die Nutzerin das Master-Passwort kennt und die Verschlüsselung nur auf Geräteebene, und nicht serverseitig erfolgt. Auch bei Twitter informierte man den Kundenstamm über den Vorfall.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
Das neue Datenleck kommt zu einem denkbar ungünstigen Zeitpunkt: Erst vor wenigen Monaten musste LastPass bestätigen, dass ein Hacker im August dieses Jahres einen Teil des Quellcodes gestohlen und vier Tage lang Zugang zu den inneren Systemen von LastPass erlangt hatte. Toubba erklärt, dass der neue Angriff wohl damit zusammenhänge, da die Hacker Informationen nutzten, die sie beim Vorfall im August erhalten haben.
„Wir arbeiten mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen und herauszufinden, auf welche spezifischen Informationen zugegriffen wurde“, sagt Karim Toubba und fügt im Blogbeitrag hinzu, dass der Dienst trotz des Angriffs „voll funktionsfähig“ bleibe. Zudem hat das Unternehmen hat eine Untersuchung eingeleitet und hat laut eigener Aussage auch die Strafverfolgungsbehörden informiert.
Ja klar und Schweine könne fliegen
Online-Passwortspeicher. Finde den Fehler.
Alter Datenschützer-Spruch: Wo ein Trog ist, kommen Schweine.
Da kqnn man ja nur froh sein, kein Abo beim Dienst zu haben.
SO SICHER ist also der Passwortmanger…
🫣
Gut das ich one PW habe