LastPass gab kürzlich bekannt, dass er gehackt wurde. Der CEO von LastPass, Karim Toubba, schrieb, dass sich ein Unbefugter über ein einziges kompromittiertes Entwicklerkonto Zugang zu Teilen der LastPass-Entwicklungsumgebung verschafft und Teile des Quellcodes sowie einige geschützte technische Informationen von LastPass entwendet hat.
Die gute Nachricht ist, dass anscheinend keine Passwörter von der Website zum Speichern von Passwörtern preisgegeben wurden. Die schlechte Nachricht ist, dass der Quellcode kompromittiert wurde.
Dies ist nicht das erste Mal, dass LastPass Sicherheitsprobleme hat. Im Jahr 2021 hatte es den Anschein, dass die LastPass-Master-Passwörter einiger Nutzer offengelegt worden waren. LastPass beteuerte zwar, dass keine Sicherheitslücke vorliegt, aber Nutzer, die E-Mails erhalten hatten, in denen sie gewarnt wurden, dass eine unbekannte Person versucht, sich in ihre Konten einzuloggen, waren nicht überzeugt. LastPass beharrte jedoch darauf, dass es sich lediglich um das Ergebnis eines Angriffs zum Ausfüllen von Anmeldeinformationen handelte.
Im Jahr 2020 gab es bei LastPass einen größeren Ausfall, und Nutzer berichteten, dass sie sich nicht bei ihren Konten anmelden oder Passwörter automatisch ausfüllen konnten. Im Jahr 2019 wurde von Sicherheitsforschern ebenfalls ein erhebliches LastPass-Sicherheitsproblem aufgedeckt.
Es ist besorgniserregend, dass das größte Unternehmen für Passwortsicherheit – mit angeblich 20 Millionen Kunden – jedes Jahr erhebliche Sicherheitsprobleme hat.
Zwar behauptete Toubba in Bezug auf den Hack von dieser Woche: „Wir haben keine Beweise dafür, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltet.“ Aber mit der Offenlegung von proprietärem Quellcode und technischen Geheimnissen ist die Möglichkeit eines Angriffs, der die Passwörter der Nutzer offenlegen könnte, durchaus gegeben.
LastPass hat ein führendes Unternehmen für Cybersicherheit und Forensik beauftragt, den Vorfall zu untersuchen. LastPass hat außerdem verbesserte Sicherheitsmaßnahmen eingeführt. Es wurden keine weiteren Beweise für unautorisierte Aktivitäten gefunden.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…