LastPass gab kürzlich bekannt, dass er gehackt wurde. Der CEO von LastPass, Karim Toubba, schrieb, dass sich ein Unbefugter über ein einziges kompromittiertes Entwicklerkonto Zugang zu Teilen der LastPass-Entwicklungsumgebung verschafft und Teile des Quellcodes sowie einige geschützte technische Informationen von LastPass entwendet hat.
Die gute Nachricht ist, dass anscheinend keine Passwörter von der Website zum Speichern von Passwörtern preisgegeben wurden. Die schlechte Nachricht ist, dass der Quellcode kompromittiert wurde.
Dies ist nicht das erste Mal, dass LastPass Sicherheitsprobleme hat. Im Jahr 2021 hatte es den Anschein, dass die LastPass-Master-Passwörter einiger Nutzer offengelegt worden waren. LastPass beteuerte zwar, dass keine Sicherheitslücke vorliegt, aber Nutzer, die E-Mails erhalten hatten, in denen sie gewarnt wurden, dass eine unbekannte Person versucht, sich in ihre Konten einzuloggen, waren nicht überzeugt. LastPass beharrte jedoch darauf, dass es sich lediglich um das Ergebnis eines Angriffs zum Ausfüllen von Anmeldeinformationen handelte.
Im Jahr 2020 gab es bei LastPass einen größeren Ausfall, und Nutzer berichteten, dass sie sich nicht bei ihren Konten anmelden oder Passwörter automatisch ausfüllen konnten. Im Jahr 2019 wurde von Sicherheitsforschern ebenfalls ein erhebliches LastPass-Sicherheitsproblem aufgedeckt.
Es ist besorgniserregend, dass das größte Unternehmen für Passwortsicherheit – mit angeblich 20 Millionen Kunden – jedes Jahr erhebliche Sicherheitsprobleme hat.
Zwar behauptete Toubba in Bezug auf den Hack von dieser Woche: „Wir haben keine Beweise dafür, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltet.“ Aber mit der Offenlegung von proprietärem Quellcode und technischen Geheimnissen ist die Möglichkeit eines Angriffs, der die Passwörter der Nutzer offenlegen könnte, durchaus gegeben.
LastPass hat ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt, den Vorfall zu untersuchen. LastPass hat außerdem verbesserte Sicherheitsmaßnahmen eingeführt. Es wurden keine weiteren Beweise für unautorisierte Aktivitäten gefunden.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…