LastPass, ein Passwortverwaltungsdienst, gab am Donnerstag bekannt, dass Hacker verschlüsselte Kopien von Kundenpasswörtern und anderen sensiblen Daten wie Rechnungsadressen, Telefonnummern und IP-Adressen gestohlen haben. Die Ankündigung ist das neueste Update von einem Verstoß, der im August aufgetreten ist. Zu diesem Zeitpunkt gab das Unternehmen an, keine Beweise dafür gesehen zu haben, dass die Hacker Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore hatten.
Aber die Erklärung des Unternehmens vom Donnerstag besagte, dass Quellcode und technische Informationen als Teil gestohlen wurden dieses Hacks wurde verwendet, um einen anderen Mitarbeiter anzugreifen. Die Hacker waren dann in der Lage, Zugangsdaten und Schlüssel zu erhalten, um auf Daten zuzugreifen und diese zu entschlüsseln, die auf einem Cloud-Speicherplatz eines Drittanbieters gespeichert sind.
Sie waren in der Lage, Dinge wie grundlegende Kundenkontoinformationen zu kopieren, einschließlich E-Mail-Adressen und der IP-Adressen, von denen Kunden auf LastPass zugegriffen haben, und „vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und ausgefüllte Daten.“
Passwortmanager sind eine Möglichkeit für Kunden, Benutzernamen und Passwörter zu speichern an einem Ort und kann mit einem vom Kunden erstellten Master-Passwort aufgerufen werden. Das Master-Passwort ist LastPass weder bekannt noch wird es vom Unternehmen gespeichert oder gepflegt, heißt es in seiner Erklärung.
Die anderen verschlüsselten Daten können nur „mit einem eindeutigen Verschlüsselungsschlüssel, der vom Master jedes Benutzers abgeleitet wird, entschlüsselt werden Passwort“, so das Unternehmen.
Nichtsdestotrotz warnte LastPass Kunden, dass sie Ziel von Social Engineering, Phishing-Versuchen oder anderen Methoden werden könnten.
„Der Angreifer könnte versuchen, Brute zu verwenden zwingen, Ihr Master-Passwort zu erraten und die Kopien der Tresordaten zu entschlüsseln“, sagte das Unternehmen in einer Erklärung. „Aufgrund der Hash-und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden verwenden, wäre es extrem schwierig, zu versuchen, Master-Passwörter mit Brute-Force-Rate für Kunden zu erraten, die unsere Best Practices für Passwörter befolgen.“
Für diejenigen, die folgen Die Passwort-Anleitung von LastPass: „Es würde Millionen von Jahren dauern, Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“, sagte das Unternehmen.
Ein Vertreter von LastPass antwortete nicht auf Nachrichten mit der Bitte um einen Kommentar.
Das Unternehmen gab bekannt, dass es die Cybersicherheitsfirma Mandiant mit der Untersuchung des Verstoßes beauftragt hat. Es sagte auch, dass es seine gesamte Entwicklungsumgebung von Grund auf neu aufbaut, ein Hinweis darauf, dass Hacker die sensiblen Systeme des Unternehmens gründlich infiltriert hatten.
LastPass sagte, dass seine Untersuchung noch andauert und dass es die Strafverfolgungsbehörden benachrichtigt hat und „ zuständige Aufsichtsbehörden.“
© 2022 Bloomberg L.P.
Affiliate-Links können automatisch generiert werden – Einzelheiten finden Sie in unserer Ethikerklärung.