Das Datenleck im August beim Passwort-Manager LastPass war viel schlimmer als ursprünglich angenommen, laut einem statement des Unternehmens. Die Hacker waren in der Lage, persönliche Daten zu stehlen, einschließlich verschlüsselter Passwörter, sowie Benutzer-und Organisationsnamen, physische Adressen, E-Mail-Adressen, Telefonnummern und IP-Adressen.
Es wurde zuvor angenommen, dass die Hacker auf LastPass zugegriffen hatten Cloud mit Daten aus einem vergangenen Hack. Dennoch hat das Unternehmen jetzt enthüllt, dass die Angreifer auch in der Lage waren, die Schlüssel und Zugangsdaten zu extrahieren, die zum Herunterladen von Backups erforderlich sind, die in der LastPass-Cloud gespeichert sind.
Unter Verwendung eines Entschlüsselungsschlüssels für einen Dual-Storage-Container und eines Cloud-Speicher-Zugriffsschlüssels, der aus der Entwicklungsumgebung von Lastpass stammt, konnte der Angreifer auf den Cloud-Speicher des Unternehmens zugreifen. Darüber hinaus verschafften sich die Hacker Zugriff auf den Benutzerspeicher, der URLs, verschlüsselte Logins und Passwörter sowie Autofill-Daten enthält.
LastPass betonte, dass die sensibelsten Felder durch eine 256-Bit-AES-Verschlüsselung geschützt sind, was nur möglich ist mit einem vom Master-Passwort des Benutzers abgeleiteten Schlüssel umgangen werden. Das Unternehmen gab an, dass Hacker nur dann auf Konten zugreifen könnten, wenn sie den Hauptschlüssel erhalten hätten, weshalb es für Benutzer wichtig sei, ihr Hauptkennwort so widerstandsfähig wie möglich zu machen und es nicht auf anderen Websites zu verwenden.
LastPass sagte, dass es mit dem Cybersicherheitsunternehmen Mandiant zusammenarbeitet, um den Vorfall zu untersuchen, und seine gesamte Arbeitsumgebung neu aufbaut. Das Unternehmen hat auch die Strafverfolgungsbehörden und die zuständigen Aufsichtsbehörden über den Verstoß informiert.
Benutzern von LastPass wird empfohlen, ihr Master-Passwort mindestens 12 Zeichen lang zu machen, die Einstellungen der passwortbasierten Schlüsselableitungsfunktion (PBKDF2 ) Schlüsselgenerierungsstandard und verwenden Sie nicht dasselbe Master-Passwort auf anderen Websites. Das Unternehmen hat in seinem Blog auch detailliertere Empfehlungen gegeben.
Trotz des Datenlecks bleibt LastPass mit über 33 Millionen Menschen und 100.000 Unternehmen weltweit einer der beliebtesten Passwort-Manager. Das Unternehmen hat den Benutzern außerdem geraten, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie z. B. die Aktivierung der Zwei-Faktor-Authentifizierung, um ihre Konten zu schützen.