LastPass: Passwörter nach Fremdzugriff weiterhin „sicher und geschützt“

Unbefugte Loginversuche beobachtet

Anfang der Woche hatte die Webseite Hacker News berichtet, dass unbefugte Anmeldeversuche bei zahlreichen Nutzern und Nutzerinnen registriert wurden. Hier wurden oftmals Loginversuche aus anderen Ländern festgestellt, wobei es zu keinem Zeitpunkt Zugriff auf sensible Daten gab, da die Konten weiterhin mit dem Master-Passwort geschützt sind.

Viele Nutzer und Nutzerinnen waren dennoch besorgt und nun hat das Unternehmen bestätigt, dass keinerlei Daten gehackt wurden und diese weiterhin sicher und geschützt sind.


Wie bereits erwähnt, hat LastPass Kenntnis von den jüngsten Berichten über Benutzer, die E-Mails erhalten haben, in denen sie über blockierte Anmeldeversuche informiert wurden, und ist diesen nachgegangen. Wir haben diese Vorgänge schnell untersucht und haben derzeit keine Anzeichen dafür, dass LastPass-Konten durch einen unbefugten Dritten als Ergebnis dieses „Credential Stuffing“ kompromittiert wurden. Wir haben auch keine Anzeichen dafür gefunden, dass die LastPass-Anmeldedaten von Benutzern durch Malware, betrügerische Browser-Erweiterungen oder Phishing-Kampagnen abgefangen wurden.

Aus Gründen der Vorsicht haben wir jedoch weiter nachgeforscht, um herauszufinden, was die automatischen Sicherheitswarn-E-Mails in unseren Systemen ausgelöst hat.

Unsere Untersuchung hat ergeben, dass einige dieser Sicherheitswarnungen, die an eine begrenzte Gruppe von LastPass-Benutzern gesendet wurden, wahrscheinlich irrtümlich ausgelöst wurden. Infolgedessen haben wir unsere Sicherheitswarnungen angepasst und dieses Problem wurde inzwischen behoben. Diese Warnungen wurden aufgrund der fortlaufenden Bemühungen von LastPass ausgelöst, seine Kunden vor böswilligen Akteuren und Versuchen, Zugangsdaten auszufüllen, zu schützen. Es ist auch wichtig zu wiederholen, dass LastPass‘ Zero-Knowledge-Sicherheitsmodell bedeutet, dass LastPass zu keiner Zeit das Master-Passwort eines Benutzers speichert, davon Kenntnis hat oder darauf zugreifen kann.

Wir werden weiterhin regelmäßig auf ungewöhnliche oder böswillige Aktivitäten achten und, falls erforderlich, weitere Maßnahmen ergreifen, um sicherzustellen, dass LastPass, seine Benutzer und deren Daten geschützt und sicher bleiben.

‎LastPass Passwort-Manager
‎LastPass Passwort-Manager
Entwickler: LogMeIn, Inc.
Preis: Kostenlos+
(via The Verge)

Anzeige

Kommentare 15 Antworten

      1. @max: Natürlich kann man hier lang und breit alle Bedingungen aufzählen. Aber die TL;DR-Version von SoBuLa ist trotzdem richtig. Das ist im Unternehmensbereich übrigens auch so. Cloud ja, aber nur für Informationen bis zu einer bestimmten Vertraulichkeits-Klassifizierung. Hochkritische Informationen, die darüber liegen, dürfen nicht in die Cloud.

  1. Man verfasse eine PR-Mitteilung nach einem Hack so, dass das Geschäft nicht gefährdet ist und der User sich weiterhin sicher fühlt – besser noch wir spielen die Aktion etwas runter.
    Hallo? Was sollten die Entwickler eines Passwort-Speicherdienstes bitte sonst veröffentlichen?

  2. Ich die Leute, die alles kostenlos haben wollen, ob sie auch umsonst Arbeiten gehen ‼️
    Meist gibt es dann dumme Gesichter.
    Oft bezahlt man „kostenlos “ mit den eigenen Daten.
    Bitte Gehirn einschalten nicht vergessen

    1. @sonja: Das stimmt zwar alles generell, aber zur hier vorgestellten App passt das nicht. Die ist nämlich gar nicht kostenlos. Was offensichtlich nicht bedeutet, dass der Anbieter nicht dennoch gehackt werden kann und dann genau wie alle anderen versucht, das herunterzuspielen.

      Online-Passwortspeicher haben immer ein großes Problem und das liegt im Geschäftsmodell, sprich, sie können es nicht loswerden: eine Sammlung von Passwörtern ist immer sehr interessant für viele Parteien. Und wo ein Trog ist, kommen die Schweine hin.

    1. Jeder weiß, dass Dienste mit Pflicht zu einem Großbuchstaben und einem Sonderzeichen die Welt beherrschen wollen. Die meide ich wie die Pest. Vorsicht bei der Internetnutzung.

          1. @plebejer: Ja, wer hätte gedacht, dass Mathematiker so lustig sein können? 😉

            Weniger lustig: habe gerade gestern für meine Mutter einen Telekom-Account innerhalb der MeinMagenta-App angelegt. Passwort muss zwischen 8 und 16 Zeichen lang sein. Warum zum Geier die Begrenzung auf 16 Zeichen? Es ist eh in Keepass drin. Warum darf es nicht 50-stellig sein? Warum muss man es künstlich und unnötig schwächen durch solche Schwachsinns-Vorgaben? Noch besser: manche Sonderzeichen sind nicht erlaubt. Es wird aber nicht vorher gesagt, welche das sind.

            Solange dieser Ober-Schwachsinn immer noch normal ist, werden meine Kollegen und ich in der IT Security nie arbeitslos sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Copyright © 2022 appgefahren.de