LastPass ist ein Passwort-Manager, der es seinen Kunden ermöglicht, die Wiederverwendung von Passwörtern online zu reduzieren, indem sie sie in einer einzigen App speichern. Der Dienst hilft Benutzern auch, sichere Passwörter zu generieren.
Was das Unternehmen den Benutzern gesagt hat
„Wir haben kürzlich ungewöhnliche Aktivitäten innerhalb eines Cloud-Speicherdienstes eines Drittanbieters festgestellt, der derzeit von beiden gemeinsam genutzt wird LastPass und sein Tochterunternehmen GoTo. Wir haben sofort eine Untersuchung eingeleitet, engagiert Mandianteinem führenden Sicherheitsunternehmen, und alarmierte die Strafverfolgungsbehörden“, sagte Karim Toubba, CEO von LastPass, in einem Blogbeitrag.
Er wies darauf hin, dass das Unternehmen feststellte, dass eine unbefugte Partei Zugriff auf bestimmte Elemente unserer Kundendaten erlangte, indem es Informationen nutzte, die im August 2022 erlangt wurden.
Der CEO sagt, dass das Unternehmen daran arbeite, „den Umfang des Vorfalls zu verstehen und festzustellen, auf welche spezifischen Informationen zugegriffen wurde“. Als Teil seiner Untersuchung setzt das Unternehmen „verbesserte Sicherheitsmaßnahmen und Überwachungsfunktionen“ in seiner gesamten Infrastruktur ein, um weitere Aktivitäten von Bedrohungsakteuren zu verhindern.
Laut Toubba sind die Kundendaten (Passwörter) sicher und mit der Zero-Knowledge-Architektur von LastPass verschlüsselt. Er merkte auch an, dass LastPass-Produkte und -Dienste voll funktionsfähig bleiben.
Zweiter Verstoß in 5 Monaten
Am 25. August berichtete LastPass, dass es ungewöhnliche Aktivitäten festgestellt habe, bei denen eine nicht autorisierte Partei „über ein einziges kompromittiertes Entwicklerkonto“ Zugriff auf die Teile des Dienstes der LastPass-Entwicklungsumgebung erlangte.
„Nachdem wir eine sofortige Untersuchung eingeleitet haben, haben wir keine Beweise dafür gesehen, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passworttresore beinhaltete“, sagte der CEO damals.
Unter Berufung auf seinen Untersuchungs- und Forensikprozess stellte das Unternehmen auch fest, dass die Aktivität des Bedrohungsakteurs vier Tage gedauert habe und das Unternehmen den Vorfall dann eingedämmt habe.