Der Passwortmanager-Gigant LastPass hat bestätigt, dass Cyberkriminelle Anfang dieses Jahres die verschlüsselten Passworttresore seiner Kunden gestohlen haben, in denen die Passwörter und andere Geheimnisse seiner Kunden gespeichert sind.
In ein aktualisierter Blogbeitrag Nach der Offenlegung sagte LastPass-CEO Karim Toubba, die Eindringlinge hätten eine Kopie eines Backups von Kundentresordaten gemacht, indem sie Cloud-Speicherschlüssel verwendet hätten, die einem LastPass-Mitarbeiter gestohlen worden seien. Der Cache der Kundenpassworttresore wird in einem „proprietären Binärformat“ gespeichert, das sowohl unverschlüsselte als auch verschlüsselte Tresordaten enthält. Zu den unverschlüsselten Daten gehören Webadressen, aber LastPass sagt nicht mehr oder in welchem Zusammenhang. Es ist nicht klar, wie aktuell die gestohlenen Backups sind.
Laut LastPass sind die Passwort-Tresore der Kunden verschlüsselt und können nur mit dem Master-Passwort des Kunden entsperrt werden, das nur dem Kunden bekannt ist. Das Unternehmen warnte jedoch davor, dass die Cyberkriminellen hinter dem Eindringen „versuchen könnten, mit roher Gewalt Ihr Master-Passwort zu erraten und die Kopien der Tresordaten zu entschlüsseln, die sie mitgenommen haben“.
Toubba sagte, dass die Cyberkriminellen auch riesige Mengen von Kundendaten mitgenommen haben, darunter Namen, E-Mail-Adressen, Telefonnummern und einige Rechnungsinformationen.
Passwort-Manager eignen sich hervorragend zum Speichern Ihrer Passwörter, die alle lang, komplex und für jede Website oder jeden Dienst einzigartig sein sollten. Aber Sicherheitsvorfälle wie dieser erinnern daran, dass nicht alle Passwort-Manager gleich sind und auf unterschiedliche Weise angegriffen oder kompromittiert werden können. Da jedes Bedrohungsmodell unterschiedlich ist, hat keine Person die gleichen Anforderungen wie die andere.
In einer seltenen Scheiße wie dieser – kein Tippfehler – die wir in unserer Analyse der Datenschutzverletzung von LastPass dargelegt haben, wenn ein Angreifer Zugriff auf die verschlüsselten Passwort-Tresore von Kunden hat, „bräuchte er nur das Master-Passwort eines Opfers“. Ein exponierter oder kompromittierter Passwort-Tresor ist nur so stark wie die Verschlüsselung – und das Passwort – die verwendet wird, um es zu verschlüsseln.
Das Beste, was Sie als LastPass-Kunde tun können, ist, Ihr aktuelles LastPass-Master-Passwort in ein neues und eindeutiges Passwort (oder eine neue Passphrase) zu ändern, die Sie sich notieren und an einem sicheren Ort aufbewahren. Das bedeutet, dass Ihr aktueller LastPass-Vault gesichert ist.
Wenn Sie der Meinung sind, dass Ihr LastPass-Passwort-Tresor kompromittiert sein könnte – beispielsweise wenn Ihr Master-Passwort schwach ist oder Sie es anderweitig verwendet haben – sollten Sie damit beginnen, die in Ihrem LastPass-Tresor gespeicherten Passwörter zu ändern. Beginnen Sie mit den wichtigsten Konten, wie z. B. Ihren E-Mail-Konten, Ihrem Handyplankonto, Ihren Bankkonten und Ihren Social-Media-Konten, und arbeiten Sie sich in der Prioritätenliste nach unten.
Die gute Nachricht ist, dass jedes Konto, das mit Zwei-Faktor-Authentifizierung geschützt ist, es einem Angreifer weitaus schwerer macht, ohne diesen zweiten Faktor, wie z. B. ein Telefon-Popup oder einen per SMS oder E-Mail gesendeten Code, auf Ihre Konten zuzugreifen. Aus diesem Grund ist es wichtig, zuerst diese Second-Factor-Konten zu sichern, wie z. B. Ihre E-Mail-Konten und Konten für Mobilfunktarife.