LastPass sagt, dass Ihr Passwort nicht preisgegeben wurde

Dec 29 2021

Wurde LastPass gehackt? Eine Reihe von Benutzern des beliebten Passwort-Managers haben kürzlich E-Mails von dem Unternehmen erhalten, in denen sie vor verdächtigen Anmeldeversuchen gewarnt wurden, bei denen ihr Master-Passwort verwendet wurde – nie ein gutes Zeichen. Einige Benutzer behaupteten auch, dass sie ihr Passwort mit keiner anderen Plattform außer LastPass geteilt hätten, und bald verbreiteten sich Spekulationen, dass das Unternehmen möglicherweise eine Datenpanne erlitten hat, bei der Anmeldeinformationen offengelegt wurden – wodurch die böswilligen Aktivitäten ermöglicht wurden.

Wurde LastPass gehackt?

Eine Reihe von Benutzern des beliebten Passwort-Managers haben kürzlich E-Mails von dem Unternehmen erhalten, in denen sie vor verdächtigen Anmeldeversuchen gewarnt wurden, bei denen ihr Master-Passwort verwendet wurde – nie ein gutes Zeichen. Einige Benutzer behaupteten auch, dass sie ihr Passwort mit keiner anderen Plattform außer LastPass geteilt hätten, und bald verbreiteten sich Spekulationen, dass das Unternehmen möglicherweise eine Datenpanne erlitten hat, bei der Anmeldeinformationen offengelegt wurden – wodurch die böswilligen Aktivitäten ermöglicht wurden.

Die Nachricht ging zuerst im beliebten Forum Hacker News in die Luft , bevor sie sich auf Twitter verbreitete:

Passwort-Manager – praktische Tools zum Speichern all Ihrer Web-Zugangsdaten an einem zentralen, vermeintlich sicheren Ort – weisen bekanntermaßen schwerwiegende Sicherheitslücken auf , die hypothetisch zu Hacking-Vorfällen führen könnten. LastPass hatte tatsächlich seinen gerechten Anteil an diesen Problemen . In einigen Fällen – wie bei Passwordstate im vergangenen Sommer – können die Folgen solcher Sicherheitsmängel ziemlich katastrophal sein.

In diesem speziellen Fall, in dem die Master-Passwörter von Benutzern kompromittiert wurden (Master-PWs werden verwendet, um sich beim Manager selbst anzumelden und so auf die restlichen Passcodes eines Benutzers zuzugreifen), ist die Neigung zu glauben, dass das Unternehmen etwas vermasselt hat, stark.

Aber sind die Ansprüche gegen LastPass gültig? Laut LastPass selbst lautet die Antwort: Wir glauben nicht. Als wir von Gizmodo um einen Kommentar gebeten wurden, übermittelte uns das Unternehmen eine Erklärung, in der es die irregulären Aktivitäten auf „ Credential Stuffing “-Versuche eines unbekannten Bedrohungsakteurs zurückführte:

Das Unternehmen behauptet weiter, dass es keine Beweise für ein tatsächliches Hacken seiner Server oder sogar eine Kompromittierung einzelner Konten gesehen habe:

Nach Angaben des Unternehmens haben sie also keine Beweise dafür gesehen, dass sie Benutzerdaten durchgesickert sind oder dass ein Hacker sich sogar erfolgreich in die Benutzerkonten eingeschlichen hat. Wenn Sie ein LastPass-Benutzer sind und das nach kaltem Trost klingt, wäre es wahrscheinlich ein guter Schritt, die Multi-Faktor-Authentifizierung zu aktivieren . MFA kann eine zusätzliche Schutzebene gegen Credential Stuffing und andere ähnliche Arten von Angriffen hinzufügen, also ist es wahrscheinlich trotzdem eine gute Sache, dies zu tun.