In den vergangenen Wochen haben wir bereits mehrfach über die Sicherheitslücken beim Passwort-Manager LastPass (App Store-Link) berichtet. Nachdem man bereits im August dieses Jahres ein Datenleck entdeckte, musste das Entwicklerteam die Kundschaft Ende November über einen neuen Angriff informieren. Im zweiten Fall wurden auch Nutzerinformationen offengelegt, da Hacker auf einen Cloud-Speicherdienst eines Drittanbieters zugegriffen hatten, der von dem Passwort-Manager genutzt wird. Laut LastPass konnten die Hacker „Zugang zu bestimmten Elementen“ der „Kundeninformationen“ erlangen.
LastPass meldet sich nun mit der neuesten Erklärung zum Schaden, der durch den Sicherheitsverstoß entstanden ist, zurück. Anfang dieses Monats war das Ausmaß des Schadens noch nicht klar, doch nun teilt man mit, dass Kopien der Passwort-Tresore der Kundschaft zusammen mit Namen, E-Mails, Rechnungsadressen, Telefonnummern und mehr erlangt wurden. Der CEO von LastPass, Karim Toubba, informierte gestern über das Update im Blog des Unternehmens.
„Bisher haben wir festgestellt, dass der Angreifer, sobald er den Zugriffsschlüssel für den Cloud-Speicher und die Entschlüsselungsschlüssel für die beiden Speichercontainer erlangt hatte, Informationen aus dem Backup kopiert hat, die grundlegende Kundenkontoinformationen und zugehörige Metadaten enthielten, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen.“
Noch beunruhigender ist, dass während des Vorfalls auch die Passwortspeicher der Kunden und Kundinnen kopiert wurden:
„Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält. Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mit Hilfe unserer Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet. Die Ver- und Entschlüsselung der Daten wird nur auf dem lokalen LastPass-Client durchgeführt.“
Auch wenn die Tresore der Benutzerpasswörter weiterhin durch die Master-Passwörter geschützt sind, kann der Hacker weiterhin Brute-Force-, Phishing- oder Social-Engineering-Angriffe versuchen. Man sollte also weiter Vorsicht walten lassen, wenn man zur Kundschaft von LastPass gehört(e). LastPass empfiehlt im Blogbeitrag, ein möglichst starkes Master-Passwort für den eigenen Account zu verwenden. Seit 2018 ist es Pflicht, ein Passwort mit mindestens 12 Zeichen zu erstellen und dieses nicht auch an anderen Stellen erneut zu nutzen, zudem kommen weitere Sicherheits-Algorithmen zum Einsatz.
„Wenn Sie die obigen Standardeinstellungen verwenden, würde es Millionen von Jahren dauern, um Ihr Master-Passwort mit einer allgemein erhältlichen Technologie zum Knacken von Passwörtern zu erraten. Ihre sensiblen Daten im Tresor, wie z.B. Benutzernamen und Passwörter, sichere Notizen, Anhänge und Felder zum Ausfüllen von Formularen, bleiben auf der Grundlage der Zero Knowledge-Architektur von LastPass sicher verschlüsselt. Es gibt keine empfohlenen Maßnahmen, die Sie zu diesem Zeitpunkt ergreifen müssen.“
LastPass erklärt weiter, dass die Untersuchung noch andauert und verpflichtet sich, die User über die Ergebnisse auf dem Laufenden zu halten sowie über Maßnahmen zu informieren, die sie ergreifen, ebenso über alle Maßnahmen, die man möglicherweise selbst ergreifen muss.
Das ist ein Kommentar von der Sorte, die besonders Spaß macht, nachdem man nur drn Titel gelesen hat 🤣
Hier ist er: „Wer hätte das gedacht?“
Ich wiederhole mich daher gerne:
Online-Passwortspeicher! Finde den Fehler 😉
Einfache Lösung: Keinen Cloud-Passwort-Manager mehr verwenden, sondern lokale Manager wie z.B. KeePassium.
1Passwort war mal einer der besten Passwortmanager auf dem Markt. Nach allem was man liest, stellt sich das Unternehmen auf stur. Trotz der Proteste der Kunden, ist keine lokale Speicherung der Daten mehr angefacht. Ist 1Passwort nicht Marktführer gewesen?
Tja, 1Passwort ich nutze erstmal die 7er Version weiter. Sollte sich nichts ändern, werde ich mein Abo für rund 40 EUR im Jahr kündigen und mir eine andere Lösung suchen. Denn die Cloud die klaut.
Hier ging es aber doch um LastPass, nicht um 1Password.
Ja klar, ich verstehe. Beide nutzen Clouddienste, um die Passworttresore zu speichern. Was LastPass passierte kann auch 1Passwort passieren.
1Password war, weltweit gesehen, zu keinem Zeitpunkt Marktführer. Marktführer war und ist LastPass. Aus diesem Grund die breit angelegten Hacker-Angriffe, weil dort wegen der großen Zahl der Abonnenten die Wahrscheinlichkeit größer ist, was zu holen (dieses hier ist schon der dritte mit Aufwand betriebener Angriff in den letzten 5 Jahren).
Da ich crossplatform arbeite, setze ich LastPass gerne ein, jedoch immer mit Bedacht (hab noch nie dort Kreditkartendaten o.ä. hinterlegt). Für mich ist‘s eine Arbeitserleichterung mit akzeptablem Aufwand.
😀Und wieder die Empfehlung:
S-Trust. http://www.s-trust.de