LastPass gab kürzlich bekannt, dass er gehackt wurde. Der CEO von LastPass, Karim Toubba, schrieb, dass sich ein Unbefugter über ein einziges kompromittiertes Entwicklerkonto Zugang zu Teilen der LastPass-Entwicklungsumgebung verschafft und Teile des Quellcodes sowie einige geschützte technische Informationen von LastPass entwendet hat.

Die gute Nachricht ist, dass anscheinend keine Passwörter von der Website zum Speichern von Passwörtern preisgegeben wurden. Die schlechte Nachricht ist, dass der Quellcode kompromittiert wurde.

Dies ist nicht das erste Mal, dass LastPass Sicherheitsprobleme hat. Im Jahr 2021 hatte es den Anschein, dass die LastPass-Master-Passwörter einiger Nutzer offengelegt worden waren. LastPass beteuerte zwar, dass keine Sicherheitslücke vorliegt, aber Nutzer, die E-Mails erhalten hatten, in denen sie gewarnt wurden, dass eine unbekannte Person versucht, sich in ihre Konten einzuloggen, waren nicht überzeugt. LastPass beharrte jedoch darauf, dass es sich lediglich um das Ergebnis eines Angriffs zum Ausfüllen von Anmeldeinformationen handelte.

Im Jahr 2020 gab es bei LastPass einen größeren Ausfall, und Nutzer berichteten, dass sie sich nicht bei ihren Konten anmelden oder Passwörter automatisch ausfüllen konnten. Im Jahr 2019 wurde von Sicherheitsforschern ebenfalls ein erhebliches LastPass-Sicherheitsproblem aufgedeckt.

Es ist besorgniserregend, dass das größte Unternehmen für Passwortsicherheit – mit angeblich 20 Millionen Kunden – jedes Jahr erhebliche Sicherheitsprobleme hat.

Zwar behauptete Toubba in Bezug auf den Hack von dieser Woche: „Wir haben keine Beweise dafür, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltet.“ Aber mit der Offenlegung von proprietärem Quellcode und technischen Geheimnissen ist die Möglichkeit eines Angriffs, der die Passwörter der Nutzer offenlegen könnte, durchaus gegeben.

LastPass hat ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt, den Vorfall zu untersuchen. LastPass hat außerdem verbesserte Sicherheitsmaßnahmen eingeführt. Es wurden keine weiteren Beweise für unautorisierte Aktivitäten gefunden.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

12 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

17 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

19 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago