Nutzer des Passwort-Managers LastPass sollten dringend das verwendete Master-Passwort ändern. Der Anbieter zur Verwaltung und Speicherung von Passwörtern ermöglicht das zentralisierte Verwalten und Synchronisieren von Passwörtern über mehrere Geräte hinweg. Jetzt wurde bekannt gegeben, dass verdächtige Aktivitäten im eigenen Netzwerk entdeckt wurden.
Zum Einbruch gibt es von LastPass ein Statement, dass den Vorgang sowie die Art der gestohlenen Daten beschreibt. Zusätzlich wird erklärt, welche Maßnahmen von LastPass ergriffen werden um die Daten der Anwender zu schützen.
We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.
Es konnte nicht festgestellt werden, dass die Daten der „Vaults“ – also die verschlüsselten Passwort-Tresore der Benutzer – in die Hände der Diebe gelangt sind. Ebenfalls wurden auch nicht auf die Accounts der Benutzer zugegriffen. Allerdings wurden die E-Mail-Adressen, die Passwort-Erinnerungen und die Authentifizierung-Hashes erbeutet.
LastPass: Beim Passwort-Manager wurde eingebrochen
LastPass geht davon aus, dass die eigenen Sicherheitsmaßnahmen ausreichend sind, um die Mehrheit der Benutzer zu schützen, wird jedoch zusätzliche Maßnahmen ergreifen, um die Sicherheit der Daten von LastPass Benutzern sicherzustellen. Jedoch werden alle Benutzer aufgefordert ihr Master-Passwort zu ändern. Dieses sollte ebenfalls bei den Diensten geändert werden, die das gleiche Passwort wie das Master-Passwort verwenden.
Zusätzlich werden alle Nutzer, die erstmalig von einer neuen IP oder einem neuen Gerät auf LastPass zugreifen aufgefordert, ihre Identität via E-Mail zu bestätigen. Inbesondere dieser Schritt ist kritisch zu bewerten, wurden doch die Benutzer-Email-Adressen geklaut. Hier sollten Anwender erhöhte Vorsicht gegenüber E-Mails von LastPass walten lassen. Betrüger könnten die Arglosigkeit für sich ausnutzen.
Quelle: LastPass Blog
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.