Update 25.1.2023: GoTo, das Unternehmen, dem Lastpass gehört, hat eingeräumt, dass bei dem Hackerangriff, bei dem die Passwort-Tresore vieler Lastpass-Nutzer gestohlen wurden (siehe unten), auch noch die Daten vieler anderer GoTo-Kunden gestohlen wurden. Betroffen sind zahlreiche Business-Anwendungen von GoTo wie zum Beispiel Join.me oder RemotelyAnywhere. In den gestohlenen verschlüsselten Backups befinden sich unter anderem Nutzernamen und gehashte Passwörter. GoTo will die betroffenen Nutzer informieren. Bank- und Zahlungsdaten sollen nicht betroffen sein. Update Ende
Lastpass: Hacker stehlen Passwort-Tresore tausender Kunden
Die Passwort-Tresore von zahlreichen Lastpass-Kunden befinden sich in den Händen von Hackern. Das meldet das Unternehmen in dieser Woche in der Ankündigung einer Datenpanne. Dabei sei es Hackern gelungen, die Passwort-Tresore zahlreicher Kunden zu stehlen. Theoretisch könnten alle Lastpass-Kunden betroffen sein, die ein Lastpass-Konto verwenden, um Passwörter und Anmeldeinformationen bei Lastpass zu speichern.
Kunden mit schwachem Master-Passwort in Gefahr
Sollte es den Hackern gelingen, die Master-Passwörter dieser gestohlenen Tresore zu knacken, hätten sie also auch Zugang zu allen im Passwort-Tresor gespeicherten Daten. Laut Lastpass hätten Kunden nichts zu befürchten, die ein starkes Master-Passwort verwenden und auf die neuesten Standardeinstellungen zurückgegriffen haben. Nutzer, die jedoch ein schwaches und kurzes Master-Passwort eingestellt haben, sollten laut Lastpass in Betracht ziehen, die Passwörter für alle Dienste zu ändern, die in ihrem Tresor hinterlegt waren.
Lastpass gibt Datenpanne nur scheibchenweise zu
Lastpass behauptet zwar, dass die Master-Passwörter nicht gestohlen wurden, angesichts des Umgangs mit dem Hack, zweifeln viele Nutzer jedoch an dieser Aussage. Der Hack wurde bereits im August bekannt. Damals gab Lastpass zu, dass es einen “Sicherheitsvorstoß“ gegeben habe, man jedoch nicht glaube, dass auf Benutzerdaten zugegriffen wurde. Im November räumte Lastpass schließlich die Möglichkeit ein, dass die Hacker Zugriff auf “bestimmte Elemente“ bei den Kundeninformationen hatten. Dass es sich bei diesen “Elementen“ um die Passwort-Tresore der Kunden handelt, kam erst jetzt ans Licht.
Hacker stehlen verschlüsselte und unverschlüsselte Daten
So beschreibt Lastpass den Vorfall: “Der Angreifer war in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte vertrauliche Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält.“ Lastpass habe selbst keinen Zugang zu den Master-Passwörtern seiner Kunden, aus diesem Grund müssten die Hacker diese erraten, um an den Inhalt der Tresore zu kommen.
Alte Master-Passwörter sind schlechter geschützt
Gefährlich wird es also nur für Kunden, die ihr Master-Passwort auch an anderen Stellen verwenden. So könnte es beispielsweise durch einen anderen Hack bereits bekannt sein. Bei Passwort-Tresoren mit einem schwachen Passwort, könnte es den Hackern außerdem gelingen, das Passwort durch das Ausprobieren unterschiedlicher Möglichkeiten (Brute-Force-Attacke) zu “erraten“. Gefährlicher wird es auch für Kunden, die Lastpass schon länger als seit 2018 benutzen. Beim Schutz ihres Master-Passworts könnte ein schwächerer Passwortverstärkungsprozess zum Einsatz gekommen sein.
Eine weitere Gefahr geht von den unverschlüsselten Daten in den Passwort-Tresoren aus. Diese Felder enthalten laut Lastpass unter anderem URLs oder zusätzliche Anmerkungen. Auf diese Weise könnten Lastpass-Nutzer unter anderem bei Phishing-Attacken ins Visier von Betrügern geraten.
Hacker erbeuten auch Kundeninformationen und IP-Adressen
Laut Lastpass sei der Diebstahl der Tresore nicht im August erfolgt. Vielmehr wurden die bei diesem Sicherheitsvorfall erbeuteten Daten dazu genutzt, um einen Lastpass-Mitarbeiter anzugreifen, der Zugang zu einem Cloud-Dienst eines Drittanbieters hatte. Bei diesem wurden die Tresore hinterlegt. Von dort konnten die Hacker die Tresore kopieren, zusammen mit Backups. Diese enthielten laut dem Unternehmen “grundlegende Kundenkontoinformationen und zugehörige Metadaten“. Zu diesen Daten gehören laut Lastpass etwa Rechnungsadressen, E-Mail-Adressen, Telefonnummern, Benutzernamen und IP-Adressen von denen Kunden auf den Dienst zugreifen.
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.