LastPass: Hacker haben Nutzer-Daten & die des Passwort-Tresors

Kein Kommentar Autor: Jürgen (jdo)

Im August 2022 wurde LastPass gehackt. Nun hat sich herausgestellt, dass der Hack wahrscheinlich schlimmer ist, als zunächst angenommen. Die Angreifer haben unverschlüsselte Kundendaten und Kopien von Backups der Passwort-Tresore erbeutet.

Der CEO von LastPass informiert, dass unbekannte Hacker Zugriff auf ein Cloud-basiertes Storage bekam. Dazu wurden Daten aus dem Vorfall im August 2022 genutzt. Während des Vorfalls im August 2022 wurde zwar nicht auf Kundendaten zugegriffen, aber Quell-Code und technische Daten aus der Entwicklungsumgebung gestohlen. Damit wurden nun Mitarbeiter angegriffen, um Zugangsdaten und Schlüssel zu erlangen, die für den Zugriff und die Entschlüsselung einiger Speichermedien innerhalb des Cloud-basierten Speicherdienstes benutzt werden.

Der oder die Angreifer konnten Daten aus dem Backup kopieren. Darin befinden sich grundlegende Kundeninformationen und zugehörige Metadaten. Mitunter gehören dazu Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugegriffen haben.

Zudem wurde eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer kopiert, der in einem proprietären Binärformat abgelegt ist. Darin befinden sich sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und Daten aus Formularen.

Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Schlüssel entschlüsselt werden. Dieser Schlüssel wird mithilfe des Master-Passworts erzeugt und das kennt LastPass zum Glück nicht. Bei all den schlechten Nachrichten ist die gute, dass die Ver- und Entschlüsselung der Daten nur auf dem lokalen LastPass-Client durchgeführt wird – Zero-Knowledge-Architektur, wie bei anderen guten Passwort-Managern.

KeePassXC ist eine gute Alternative zu LastPass
KeePassXC ist eine gute Alternative zu LastPass

Es gibt keine Hinweise darauf, dass auf unverschlüsselte Kreditkartendaten zugegriffen wurde. LastPass speichert keine vollständigen Kreditkartennummern und diese Daten werden in der entsprechenden Cloud-Speicherumgebung nicht abgelegt.

Was bedeutet das für Deine Daten bei LastPass?

Möglicherweise könnten die oder der Angreifer Dein Master-Passwort mit Brute Force knacken – es kommt darauf an, wie komplex das Hauptkennwort ist. Lässt sich das knacken, kann auch der Passwort-Tresor geöffnet werden. Ist das Master-Passwort allerdings ziemlich komplex, wird es schwer, das mit einem Brute-Force-Angriff zu knacken.

Gefährlicher sind wohl Phishing-Angriffe, da genügend relevante Daten erbeutet wurden. Um Dich vor Social-Engineering- oder Phishing-Angriffen zu schützen, musst Du wissen, dass Dich LastPass niemals anruft, eine E-Mail schreibt oder eine SMS schickt und Dich auffordert, auf einen Link zu klicken, um Deine persönlichen Daten zu verifizieren. Das gilt übrigens auch für viele andere Firmen. Schon gar nicht wird Dich LastPass nach Deinem Master-Passwort fragen.

Seit 2018 ist die Mindestlänge für das Master-Passwort 12 Zeichen. Je länger, desto besser. Zudem solltest Du Dein Master-Passwort niemals auf anderen Websites einsetzen.

Du findest die vollständige Stellungnahme im Blog von LastPass.


 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.