LastPass wurde zum zweiten Mal innerhalb von drei Monaten gehackt. Es wird von mehr als 30 Millionen Menschen auf der ganzen Welt verwendet. Der Passwort-Manager LastPass hat bestätigt, dass Hacker verschlüsselte Kopien von Benutzerpasswörtern und anderen sensiblen Daten gestohlen haben, darunter die Rechnungsadressen, Telefonnummern und IP-Adressen der Benutzer. Zuerst wurde das System bereits im August, Ende November, gehackt - Anfang Dezember tauchten Informationen darüber auf, welche Daten gestohlen wurden, und jetzt hat der Blog des Unternehmens die Details veröffentlicht.
Der Passwort-Manager LastPass wurde gehackt, was sich für die Hacker selbst als sehr erfolgreich herausstellte, es gelang ihnen, an die Daten des Benutzers zu gelangen, aber es ist noch nicht bekannt, was genau. Es ist wahrscheinlich, dass sie jetzt Zugriff auf die Passwörter haben, die Benutzer des Dienstes in ihren Profilen speichern.
Die Informationen über den LastPass-Hack und die Kompromittierung von Benutzerdaten wurden auch von den Vertretern des Dienstes selbst bestätigt. Sie verbergen jedoch sorgfältig sowohl das Ausmaß des Lecks als auch die Art der Informationen, die in die Hände der Angreifer gelangt sind, sodass vorerst alle LastPass-Benutzer ohne Ausnahme, Millionen von Menschen auf der ganzen Welt, gefährdet sind. Laut dem EarthWeb-Portal zählte die LastPass-Benutzerbasis im Oktober 2022 33 Millionen Menschen.
Zum Zeitpunkt der Veröffentlichung des Materials bestätigten LastPass-Vertreter das Durchsickern der Passwörter von Benutzern, die sich in ihrem persönlichen Online-Speicher befinden, nicht, leugneten sie jedoch nicht. Allerdings besteht die Gefahr eines solchen Hackerangriffs. Angesichts der Tatsache, dass LastPass in den 14 Jahren seines Bestehens mehr als einmal Passwörter preisgegeben hat, ist das Risiko in diesem Fall hoch.
Was bist du
Als Erstes müssen Nutzer sehen, welche Passwörter in der Cloud gespeichert sind, und diese schnellstmöglich ändern, bevor Angreifer gezielt an sie herankommen. Viele Menschen speichern beispielsweise Passwörter von einer Internetbank oder Firmen-E-Mail in solchen Managern.
Der zweite Schritt besteht darin, wenn nicht einen Ersatz für LastPass, dann zumindest einen Backup-Passwort-Manager unter denen zu finden, die offline arbeiten. Solche Programme speichern die Datenbank mit Passwörtern direkt auf dem Gerät des Benutzers (oftmals in verschlüsselter Form), was das Risiko eines Durchsickerns des Inhalts erheblich verringert.
Passwort-Manager ermöglichen es Benutzern, ihre Benutzernamen und Passwörter auf verschiedenen Websites an einem Ort zu speichern, auf den mit einem vom Benutzer erstellten Master-Passwort zugegriffen werden kann. Last Pass speichert oder vernichtet das Master-Passwort nicht. Andere verschlüsselte Daten können nur mit einem "eindeutigen Verschlüsselungsschlüssel, der aus dem Master-Passwort des Benutzers erhalten wird" abgerufen werden. Das Unternehmen warnte Kunden jedoch davor, Opfer von Social Engineering, Phishing und anderen Methoden der Informationsbeschaffung zu werden. Darüber hinaus können Hacker einen Brute-Force-Angriff verwenden, um das Master-Passwort zu erhalten und andere Daten zu entschlüsseln, die sich im verschlüsselten Speicher befinden. LastPass behauptet jedoch, dass Angreifer „Millionen von Jahren“ brauchen werden, um ein Passwort mit öffentlich verfügbaren Hacking-Techniken zu erraten.
Das Unternehmen sagte, dass Mandiant, ein Unternehmen, das Cybersicherheit anbietet, den Vorfall untersucht und dass LastPass selbst die gesamte Arbeitsumgebung komplett neu aufbaut – dies deutet indirekt darauf hin, dass die Hacker an bedeutende Codeteile und andere Daten gekommen sind.
LastPass sagte auch, dass die Untersuchung noch andauere und das Unternehmen die Strafverfolgungsbehörden und die zuständigen Aufsichtsbehörden über den Vorfall informiert habe. Sie selbst empfiehlt Nutzern, das Master-Passwort nicht kürzer als 12 Zeichen zu machen, die Einstellungen des Schlüsselgenerierungsstandards Password-Based Key Derivation Function (PBKDF2) zu ändern und das Master-Passwort natürlich nicht auf anderen Seiten zu verwenden. Detailliertere aktuelle Empfehlungen werden gegeben im Serviceblog.
Sie können der Ukraine helfen, gegen die russischen Invasoren zu kämpfen. Der beste Weg, dies zu tun, besteht darin, Gelder an die Streitkräfte der Ukraine zu spenden Das Leben retten oder über die offizielle Seite NBU.