Der bereits bekannte Angriff auf den Passwortmanager LastPass ist umfangreicher als bisher angenommen. Jetzt erklären die Betreiber, dass Hacker doch Zugriff auf verschlüsselte Passwörter und Benutzernamen von Kunden haben. Auch E-Mail-Adressen und Telefonnummern sind wohl betroffen.
LastPass: Hacker stehlen Passwort-Tresore
Anfang Dezember gab LastPass bekannt, dass es einen Angriff auf den Cloudspeicher des Passwortmanager gegeben hat. Wie sich jetzt herausstellt, ist die Attacke deutlich umfangreicher ausgefallen als zuvor noch kommuniziert. Die Hacker haben sich allem Anschein nach auch einen Zugriff auf sensible Kundendaten wie E-Mail-Adressen, Telefonnummern, Rechnung- und IP-Adressen verschaffen können.
Nach Angaben von LastPass haben Angreifer ein großes Backup in ihren Besitz gebracht, in dem sich auch Passwort-Tresore von Kunden befinden. Gleichzeitig weist Lastpass darauf hin, dass dort hinterlegte Passwörter und Benutzernamen weiterhin verschlüsselt sind. Vor einem Fremdzugriff seien sie nach wie vor geschützt, sofern kein Zugriff auf das Masterpasswort von Nutzern besteht. Dieses wird aber nur lokal bei den Kunden selbst gespeichert und nicht in der Cloud.
LastPass empfiehlt dringend, das eigene Masterpasswort zu schützen. Angreifer könnten verstärkt Brute-Force-Attacken starten, um die erbeuteten Passwort-Tresore zu öffnen. Das Unternehmen warnt davor, ein schwaches Masterpasswort zu verwenden und auf identische Passwörter bei verschiedenen Online-Services zu setzen.
Von diesen Passwörtern solltet ihr die Finger lassen:
LastPass baut Infrastruktur neu auf
Um weitere Angriffe zu unterbinden, hat LastPass nach eigener Darstellung seine gesamte IT-Infrastruktur bereits neu aufgebaut. Auch seien weitere Sicherheitsmechanismen im Einsatz, um den Dienst so sicher wie möglich zu gestalten (Quelle: LastPass).