Bereits im August gab LastPass bekannt, dass seine Systeme bei einem Sicherheitsvorfall kompromittiert wurden. Jetzt gab LastPass-CEO Karim Toubba bekannt, dass es den Angreifern gelungen ist, verschlüsselte Passwörter und andere in Kundentresoren gespeicherte Daten zu kopieren.
In einem gestern veröffentlichten Blogbeitrag enthüllte LastPass, dass Hacker auf Kundendaten wie Namen und Telefonnummer zugegriffen haben Nummern, E-Mail-Adressen, IP-Adressen und einige Rechnungsinformationen. Die Angreifer kopierten auch Kundentresordaten mit verschlüsselten und unverschlüsselten Informationen, einschließlich Website-URLs, Benutzeranmeldeinformationen, Formulardaten und sicheren Notizen.
„Diese verschlüsselten Felder bleiben mit 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch gepflegt. Die Verschlüsselung und Entschlüsselung von Daten erfolgt nur auf dem lokalen LastPass-Client“, erklärte Karim Toubba, CEO von LastPass.
Bei seiner Untersuchung fand LastPass keine Beweise dafür, dass es den Hackern gelang, auf unverschlüsselte Kreditkartendaten zuzugreifen. Das Unternehmen sagt, dass die Angreifer nicht auf die spezifische Cloud-Speicherumgebung zugreifen konnten, in der die Kreditkarteninformationen der Kunden gespeichert sind.
LastPass sagt, dass die Hacker das Master-Passwort des Benutzers benötigen würden, um die gestohlenen Dateien zu entschlüsseln. Es ist jedoch immer noch möglich, mehrere Brute-Force-Versuche durchzuführen, um die gesammelten Daten zu entschlüsseln, aber dies würde enorme Mengen an Ressourcen erfordern.
Was sollten LastPass-Kunden tun, um Sicherheitsverletzungen zu verhindern?
Darüber hinaus warnt LastPass, dass Phishing-Angriffe zunehmend sowohl auf Privatpersonen als auch auf Geschäftskunden abzielen. Das Unternehmen hat mehrere Schritte unternommen, um Sicherheitsverletzungen in Zukunft zu verhindern. Die Liste umfasst die Wiederherstellung der gehackten Entwicklungsumgebung von Grund auf und die Rotation betroffener Anmeldeinformationen und Zertifikate.
LastPass empfiehlt Benutzern, ihr Master-Passwort und alle anderen in ihrem Passwort-Tresor gespeicherten Anmeldeinformationen zu ändern. Darüber hinaus sollten Kunden nicht die Standardeinstellungen verwenden und die Weitergabe sensibler Daten durch Phishing-E-Mails und Telefonanrufe vermeiden. Das Unternehmen hat auch einige Anweisungen für Geschäftskunden mit hohem Risiko aufgeführt, und Sie können sich das Ziel Vollständiges Sicherheitsupdate auf der LastPass-Website für Details.