Hacker haben verschlüsselte LastPass-Passwortspeicher gestohlen, und wir erfahren erst jetzt davon
LastPass hat eine brandaktuelle Ankündigung zu einem kürzlich erfolgten Datenschutzverstoß gemacht: Das Unternehmen, das verspricht, alle Passwörter an einem sicheren Ort aufzubewahren, teilt nun mit, dass Hacker in der Lage waren, "ein Backup der Kundentresor-Daten zu kopieren", was bedeutet, dass sie theoretisch jetzt Zugang zu all diesen Passwörtern haben, wenn sie die gestohlenen Tresore knacken können (via TechCrunch).
Letzten Monat gab das Unternehmen bekannt, dass Angreifer auf "bestimmte Elemente" von Kundeninformationen zugegriffen hatten. Gerade als viele US-Beschäftigte in die Ferienpause gehen, enthüllt das Unternehmen, dass dies ihre verschlüsselten Passwörter bedeutete.
Wenn Sie ein Konto haben, das Sie zum Speichern von Passwörtern und Anmeldeinformationen auf LastPass verwenden, oder wenn Sie früher eines hatten und es nicht vor diesem Herbst gelöscht haben, könnte Ihr Passwort-Tresor in den Händen von Hackern sein. Dennoch behauptet das Unternehmen, dass Sie sicher sein könnten, wenn Sie ein starkes Master-Passwort und die neuesten Standardeinstellungen haben. Wenn Sie jedoch ein schwaches Master-Kennwort oder weniger Sicherheit haben, sollten Sie als zusätzliche Sicherheitsmaßnahme das Risiko minimieren, indem Sie die Kennwörter der von Ihnen gespeicherten Websites ändern", so das Unternehmen.
Das könnte bedeuten, dass Sie die Passwörter für jede Website ändern müssen, die Sie LastPass anvertraut haben.
LastPass besteht zwar darauf, dass die Passwörter nach wie vor durch das Master-Passwort des Kontos geschützt sind, aber angesichts der Art und Weise, wie LastPass mit diesen Enthüllungen umgegangen ist, fällt es schwer, dem Unternehmen zu diesem Zeitpunkt Glauben zu schenken.
Auch wenn das alles keine guten Nachrichten sind, so ist es doch etwas, das theoretisch jedem Unternehmen passieren könnte, das Geheimnisse in der Cloud speichert. Bei der Cybersicherheit kommt es nicht darauf an, eine 100-prozentig perfekte Erfolgsbilanz zu haben, sondern darauf, wie man auf Katastrophen reagiert, wenn sie eintreten.
Und genau hier hat LastPass meiner Meinung nach absolut versagt.
Denken Sie daran, dass LastPass diese Ankündigung heute, am 22. Dezember, macht - drei Tage vor Weihnachten, einer Zeit, in der viele IT-Abteilungen im Urlaub sind und in der die Leute wahrscheinlich nicht auf Updates ihres Passwortmanagers achten werden.
LastPass sagt, dass das Backup des Tresors nicht im August kompromittiert wurde, sondern dass der Bedrohungsakteur die Informationen aus dieser Verletzung nutzte, um einen Mitarbeiter anzugreifen, der Zugang zu einem Cloud-Speicherdienst eines Dritten hatte. Die Tresore wurden in einem der Volumes dieses Cloud-Speicherdienstes gespeichert und von dort kopiert, zusammen mit Backups, die "grundlegende Kundenkontoinformationen und zugehörige Metadaten" enthalten. Dazu gehören Dinge wie "Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus Kunden auf den LastPass-Dienst zugreifen", so LastPass.
Was ist Ihre Reaktion?
