Ein ziemlich peinlicher Vorfall für einen Passwort-Sicherer
LastPass-Kunden dürften in jüngster Vergangenheit öfter mal erschreckt aufgeatmet haben. Im letzten Jahr hatte es einen großen Angriff auf Masterpasswörter gegeben, im August war dann bekannt geworden, dass Teile des Quellcodes der Plattform entwendet worden waren. Jetzt schreibt das Unternehmen in einem Blogpost erneut von einem "Sicherheitsvorfall", der wohl mit dem Vorfall im Sommer in Verbindung steht.Gute Passwortwahl: Manchmal nicht so leicht
"Wir haben festgestellt, dass eine unbefugte Partei unter Verwendung von Informationen, die sie im August 2022 erhalten hat, in der Lage war, sich Zugang zu bestimmten Daten unserer Kunden zu verschaffen", so die Sicherheitsexperten des Unternehmens. Angaben, welche Informationen hier gemeint sind, kann das Unternehmen nicht liefern, das sei aktuell noch Gegenstand von Untersuchungen. "Wir arbeiten mit Hochdruck daran, das Ausmaß des Vorfalls zu verstehen und herauszufinden, auf welche spezifischen Informationen zugegriffen wurde", so die Mitteilung.
Natürlich ist LastPass sehr bemüht darum zu betonen, dass eine Kompromittierung der Passwort-Daten der Nutzer ausgeschlossen werden könne. Hier verweist man auf die sogenannte Zero Knowledge-Architektur des Dienstes, dank der Daten auf Servern keine Rückschlüsse auf Zugangsdaten erlauben sollen.
Bisherige Erkenntnisse
Aufgefallen war das Sicherheitsproblem demnach wegen ungewöhnlichen Aktivitäten bei einem Cloud-Speicherdienst eines Drittanbieters, der von Lastpass und dem Tochterunternehmen GoTo genutzt wird. In der Folge wurde das Sicherheitsunternehmen Mandiant mit einer Untersuchung beauftragt und die Strafverfolgungsbehörden alarmiert.Infografik: Ein sicheres Passwort wählen