LastPass Hack

[Gh0st]

LastPass Passwort-Tresore der Kunden gestohlen

Der Passwortmanager-Gigant LastPass hat bestätigt, dass Cyberkriminelle die verschlüsselten Passwort-Tresore seiner Kunden gestohlen haben, in denen die Passwörter und andere Geheimnisse der Kunden gespeichert sind.

In einem aktualisierten Blog-Beitrag zu dieser Enthüllung sagte LastPass-CEO Karim Toubba, dass die Eindringlinge eine Kopie eines Backups der Kundentresor-Daten mit Hilfe von Cloud-Speicherschlüsseln gestohlen haben, die von einem LastPass-Mitarbeiter stammen. Der Zwischenspeicher für Kundenpasswörter wird in einem proprietären Binärformat" gespeichert, das sowohl unverschlüsselte als auch verschlüsselte Tresordaten enthält, aber technische und Sicherheitsdetails dieses proprietären Formats wurden nicht genannt. Zu den unverschlüsselten Daten gehören auch im Tresor gespeicherte Webadressen, aber LastPass sagt nicht, in welchem Zusammenhang oder in welcher Form. Es ist nicht klar, wie aktuell die gestohlenen Backups sind.

Laut LastPass sind die Passwort-Tresore der Kunden verschlüsselt und können nur mit dem Master-Passwort des Kunden entsperrt werden, das nur dem Kunden bekannt ist. Das Unternehmen warnte jedoch davor, dass die Cyberkriminellen, die hinter dem Eindringen stecken, versuchen könnten, Ihr Master-Passwort mit roher Gewalt zu erraten und die Kopien der gestohlenen Tresordaten zu entschlüsseln".

Toubba sagte, dass die Cyberkriminellen auch große Mengen an Kundendaten erbeuteten, darunter Namen, E-Mail-Adressen, Telefonnummern und einige Rechnungsdaten.

Sicherheitsvorfälle wie dieser erinnern daran, dass nicht alle Passwort-Manager gleich sind und auf unterschiedliche Weise angegriffen oder kompromittiert werden können.

Man sollte nun das aktuelle LastPass-Master-Passwort in ein neues und einzigartiges Passwort (oder eine Passphrase) zu ändern und damit beginnen, die in der LastPass-Kennwortdatenbank gespeicherten Kennwörter zu ändern.

Eine Zwei-Faktor-Authentifizierung sollte man auch nutzen.

 

[Azrael]

Und was ist die Moral von der Geschichte? Bewahre deine sensiblen Daten da auf wo sie hingehören und nicht in irgendeiner Cloud. Eigener Rechner und Backups auf USB. Von Zeit zu Zeit werde ich auch altmodisch und drucke das ganze aus, nutzt aber im täglichen Gebrauch wenig weil jedes einzelne Passwort ist lang und alles drin was die Tastatur hergibt, aber für den extremen Notfall besser als nichts.

 

[Mr.Monk]

Ich konnte mich bis heute auch nie dazu durchringen einen Passwort Manager zu benutzen. Und wenn ich sowas dann lese, bin ich auch froh drum. Ist zwar alles etwas umständlich, aber so schlafe ich einfach besser.

 

[Nicole]

Ich habe noch ein Büchlein, wo ich alle Passworte rein schreibe, so auf Papier ( für die jüngeren hier ). Die Vorstellung, ich hab es auf einen Stick gesichert und auf dem Rechner und beides geht kaputt und alles ist futsch... Ne, da bin ich wirklich altmodisch. Ich arbeite überhaupt nicht mit clouds, irgendwie gefällt es mir nicht, wenn meine Daten und seien es nur private Fotos irgendwo anders herumliegen.