ifun.de — Apple News seit 2001. 39 251 Artikel

"Keine Passwörter betroffen"

LastPass erneut gehackt: Zugriff auf Kundendaten bestätigt

Artikel auf Mastodon teilen.
87 Kommentare 87

Die Anbieter des Passwort-Managers LastPass müssen erneut eine Datenverlust eingestehen. Wie das Unternehmen mitteilt, haben unbefugte Personen auf Daten zugegriffen, die bei einem von LastPass genutzten externen Cloud-Speicherdienst abgelegt waren.

Die Details rund um den Vorfall sind noch etwas schwammig. Der Vorstandsvorsitzende von LastPass Karim Toubba spricht in seinem Statement davon, dass die Hacker „Zugriff auf bestimmte Elemente von Daten“ der Kunden von LastPass erlangt haben. Die von den Kunden gespeicherten Passwörter dank der Zero-Knowledge-Architektur von LastPass jedoch zu jeder Zeit sicher verschlüsselt seien.

Lastpass

Offenbar Informationen vom letzten Hack verwendet

Zumindest zu denken gibt allerdings der vom LastPass-Chef eingestreute Nebensatz, dass die Unbefugten den Zugriff mit Hilfe von Informationen, die sie beim Vorfall im August 2022 in ihren Besitz gebracht hatten, erlangt haben. Wir hatten über die Vorkommnisse berichtet, damals hatten ein oder mehrere Angreifer über einen Zeitraum von vier Tagen hinweg Zugriff auf interne Systeme des Anbieters, indem sie sich nach erfolgreicher Multifaktor-Authentifizierung als Entwickler ausgaben. Wie genau dies abgelaufen ist, blieb offen, der Angreifer hatte wohl auf eine bislang unbekannte Weise das Endgerät eines tatsächlichen Entwicklers kompromittiert.

LastPass hatte im Rahmen der Aufarbeitung des Vorfalls betont, dass deren Systemdesign und zusätzliche Kontrollmechanismen einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Vaults verhindert haben. Auch habe man keine Hinweise auf Versuche gefunden, gefälschten oder bösartigen Code einzuschleusen. Vollständig aufgearbeitet scheint die Angelegenheit mit Blick auf den aktuellen Vorfall allerdings nicht zu sein, denn die Aussage des Unternehmens, es gebe keinerlei Hinweise darauf, dass kriminelle Akteure auch nach dem fraglichen Zeitraum aktiv waren, wird durch das aktuelle Statement widerlegt.

Der LastPass-Chef will in seinem Unternehmens-Blog weiter über den Stand der Dinge informieren.

Danke Holger

01. Dez 2022 um 07:39 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    87 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Jetzt Werbung für eine Firma machen, die Passwörter sichert und online abrufbar macht, wirkt irgendwie komisch…

      Passwörter einfach selbst lokal verwalten und synchronisieren.

      • Kannst du machen, wenn du 5 Passwörter hast. Bei mehreren Tausend, wie ich sie in 1P habe, wird es ziemlich anstrengend, denn man verzichtet damit auch auf die wirklich guten Apps und Browser-Erweiterungen, die 1P bietet.

        Und online Abrufbar ist in erster Linie Datenbrei, der nur durch verschiedene Geheimnisse zu lesbaren Daten werden kann, die nur ich kenne. Insofern finde ich da gar nichts daran komisch, dass für eine Firma geworben wird, die durch Whitepapers und Prüfungen durch unabhängige Sicherheitsdienstleister deutlich gemacht und verifiziert hat, dass ihr Produkt sicher ist.

      • Ist halt immer eine Frage zwischen Komfort und Sicherheit. Bewegt man sich in Richtung Sicherheit, verliert man Komfort. Bewegt man sich in Richtung Komfort, verliert man Sicherheit.
        Privat und auch beruflich verwende ich KeePassXC und speichere „lokal“ am Server. Klar, der Workflow ist etwas umständlich aber man kann z. B. mit Documents Ordner auf Samba-Shares synchronisieren und dann in KeePass Touch öffnen. KeePass Touch arbeitet auch mit Face-ID zusammen. Ist man nicht vor Ort, löst VPN das Problem.
        Browser-Erweiterung kann KeePassXC auch, ist halt eine Frage von Komfort und Sicherheit, ob man dem Browser Zugriff auf seine privaten Kennwörter geben möchte. Im Zweifel ist das das Einfallstor.

      • Vermutlich hat auch LastPass sich durch unabhängige Dienstleister die Sicherheit prüfen lassen. Leider prüfen die eben auch nur das, was eben „bekannte“ potentielle Schwachstellen sein könnten. Ein kreativer Hacker findet möglicherweise morgen einen Weg, auch 1Password zu hacken… irgendwann wird jeder Dienst das erste mal gehackt.

        Und ganz ehrlich: um mehrere Geräte synchronisieren zu können, braucht man keine Cloud. Das geht auch lokal und direkt zwischen den Geräten/Computern.

      • Alles was in eine Cloud steht ist nicht sicher oder glaubt hier jemand das 1 Password keine Hintertür hat einbauen müssen.

      • Er meinte eher Bitwarden und das dann auf dem eigenen NAS laufen lassen. Läuft bei mir super mit Desktop app und Browsererweiterungen. Für ios und Android gibt es auch Apps.

      • +1 genauso mache ich es mit Bitwarden in einem Docker Container auf einem RaspberryPi :-) seit 2 Jahren ohne Probleme

      • Docker sicher? Als Passwortsafe Speicherort würde ich das glaube ich nicht verwenden…

      • Funktioniert auch lokal mit 1 Password 7.10. mit WLAN Sync….Einmalkauf…

      • Nicht mehr

      • Ist Bitwarden auf einem Raspi zu Hause wirklich sicherer vor Angriffen?

      • Ich glaube grundsätzlich schon, das jemand sich die Mühe macht deine lokale Instanz zu hacken mit allen Unwegbarkeiten dazwischen ist viel unwahrscheinlicher, als dass ein großer Anbieter geknackt wird wo man auf einen Schlag gleich viel Daten abziehen kann. Aber ein gewisses Risiko gibt es leider immer. Am sichersten bleibt nachwievor in den Wald zu ziehen und das Internet zu meiden ;)

      • Ja wenn die Sicherheits Schlüssel richtig definiert sind und du zum Zugriff evtl noch vpn nimmst dann so ziemlich.

      • Egal wie sicher docker ist, ins keepass file kommen sie nicht

      • Mehrere tausend??? Ja ne, is klar… XD

      • Dito. Und seit ein paar Wochen noch mit einem Yubikey

      • Ich meine Bitwarden auf NAS mit WireGuard und jetzt noch Yubikey

    • Eher Bitwarden und Keepass was anderes ist rausgeschmissen Geld.

    • Ist nur frag der Zeit und die werden auch gehakt. Mal abzuwarten

    • passwörter selbst im eigenen Hirn merken – einfach perfekt, kostet nix außer anfangs etwas Kreativität.

      hat man gelernt, sich selbst Sachen effektiv zu merken, sind selbst 200 accounts kein Problem…

  • HutchinsonHatch

    Der Laden kann doch einpacken, oder? Vertrauensverhältnis nicht mehr vorhanden, wer nimmt dass denn jetzt noch als Passwort-Safe?

  • Tut mir leid für alle betroffenen und ich hoffe, dass da nichts Schlimmeres mehr im Nachgang kommt.
    Mich bestärkt das mal wieder in der Haltung, dass jede Information, die im Netz gespeichert wird potenziell gefährdet ist.

  • Ich kann darüber nur lachen. Warum? Weil mein Unternehmen (>10k Mitarbeiter) vor ein paar Monaten alle dazu zwang diesen PW Manager statt andere zu nutzen. Und jetzt gibt’s ausgerechnet bei diesem dauernd Hackingfälle xD

    • Und wegen deinem Unternehmen wollen die Hacker jetzt an die Daten dort ;)

    • Haben wir eventuell den selben Arbeitgeber? :D muss aber auch sagen gibt schlimmeres, die Passwörter sind wohl weiterhin nicht kompromittiert und immer noch durchs Masterpasswort gesichert. Dafür dass es das Teil kostenlos für die private Nutzung dazu gibt immer noch die komfortabelste Lösung für 0€ (gerade wenn man nicht nur Apple nutzt oder Passwörter ohne Benutzername hat)

    • Mitarbeiter zwingen?
      10 K MA und dann so eine „Lösung“, wie sieht dann bei euch die IT aus?
      Was sagt denn euer Sicherheitsbeauftragter zu solchen „Lösungen“?

      Ich würde nur etwas Quelloffenes vertrauen wie z. B. Keepass.
      Braucht man Zugriff auf die Datei, dann lege ich sie mit Cryptomator zusätzlich verschlüsselt bei pcloud ab.
      Ihr als Betrieb habt doch sicherlich ein eigenes VPN für Zugriffe nach Innen, dann kann die Datei immer lokal in der Firma bleiben.

      • Gerade durch das VPN und abgesicherte firmennetz ist der passwortschutz meist eh zweitrangig. Toll wenn jemand das Passwort hat aber ohne Netzwerkzugriff gar keine Möglichkeit hat dieses zu nutzen.

  • HutchinsonHatch
  • Freunde der Nacht.

    Genau aus solchen Gründen setze ich seit Jahren auf KeePass – Lokal gesichert auf meiner NAS.
    Mehr oder weniger die gleiche experience nur dafür lokal gehostet und nicht im www. Und bis auf die dazugehörigen iOS Apps kostet das ganze auch nichts.

    Diese ganzen Passwort Managern dein komplettes Leben anzuvertrauen war mir über die Zeit dann doch zu viel.

  • Ich bin mit 1Password sehr zufrieden seit vielen Jahren und zahle auch gerne für die Entwicklung. So ein Vorfall kann aber denke ich bei allen Anbietern passieren. Ich hoffe, die Systeme sind ordentlich abgesichert.

  • Seit Jahren IPIN2 auf allen Geräten.
    Da muss nichts in die Cloud und kann Zuhause im W-LAN Synchronisiert werden.

  • Speichere nie Passwörter in der Cloud. Egal bei wem oder wie

    • Es gibt Studien/Berichte, das Cloud-Umgebungen wesentlich sicherer sind als On-Premise-Umgebungen.

      Nur weil das Speichermedium bei dir ist, ist es noch lange nicht sicher! Wie schützst du dich gegen Ransomware? Backup, Desasterrecovery?

  • Kenne jetzt Keepass zu wenig, aber wie greift man ausserhalb des LANs zu Hause auf das Keepass zu?

    Oder gibt es nur ein Abgleich wenn man im LAN ist?

  • Intergalactic_T
  • EnPass , beste alternative die bezahlbar ist mit lifetime Account

    • Einen Lifetime-Account hast vermutlich bei allen. Aber verm meinst du die Lifetime-Lizenz. Nur gilt die für die aktuelle Version 6 und fraglich ist, ob die bei Erscheinen von Version 7 nicht mehr aktualisiert wird. Für mich ist das ein Marketing-Trick …

  • „Fool me once shame on you, fool me twice shame on me.“
    Wer jetzt noch diesem Dienst vertraut, ist selber Schuld.

    • Naja. Ein Entwickler wurde gehackt (nicht Lastpass) und die Hacker hatten Zugriff auf den Quellcode (an den man auch so rankommt). Gut ist, dass sie es transparent machen. Ich will nicht wissen, wie es. bei den anderen aussieht. Oder anders: Sicher wird es auch auf die anderen Angriffe geben. DIE haben dazu aber bisher nichts veröffentlicht.

  • Ist das nicht die App, die häufig bei einem 1Password Artikel als sehr Gute Alternative in den Kommentaren erwähnt wird? Ich frag fürn Freund.

  • Wer vertraut seine Passwörter fremden an (App)?????? Unverständlich und sich dann beschwert das gehackt!

  • Wenn man auf „About Us/Company“ des obigen Links geht: lauter glückliche Menschen, ein Hund am Computer, hübsche Frau auf Hängematte etc.

    • Nur potthässlich + neue Funktionen im Schneckentempo, Sync funktioniert noch immer nicht automatisch. Beispiel: iPhone + Desktop. Auf dem Desktop was bei BW speichern (egal ob Web oder Desktop), dann bei iOS paar Minuten später versuchen das Passwort auf Seite X einzufügen, was zuvor gespeichert wurde. Geht nicht, da es nicht existiert.

      Man muss echt die Bitwarden App manuell erst starten, damit es synchronisiert wird.

    • Stimme gdgdf voll zu: potthässlich und neue funktionen im schneckentemp.

      Ich steige früher oder später auf Minimalist um …

  • Ist LastPass nicht ein Online Passwort Manager? WIESO benutzt man einen Passwort Manager der nur per Cloud speichert?

  • Das Problem mit Lastpass sind nicht die Sicherheitsvorfälle:

    Hier zeigt sich nur, dass die eigentlich ein recht gutes Team haben, was so was mitbekommt UND transparent kommuniziert. Bei all den anderen Anbietern merken die es wahrscheinlich nicht mal selber. Technisch ist Lastpass so konzipiert, dass solche breaches kein Risiko darstellen sollten (end-to-end encryption und die blobs sind bei Lastpass so abgelegt, dass daraus auch nicht erkennbar ist, welcher blog zu welcher E-Mail-Adresse gehört, weil die auch verschlüsselt sind (mit den Nutzerpasswörtern)).

    Was das Problem ist:
    Mit dem Kauf von LastPass durch LogMeIn hat sich erst mal nichts geändert. 2020 wurden dann allerdings die Nutzungsbedingungen geändert. Sie wurden einfach per Copy&Paste durch die von LogMeIn ersetzt. Platt ausgedrückt steht da jetzt „sie erteilen uns die vollständigen Nutzungsrechte an allen Daten, die sie bei uns speichern.“ Ich kann mir nicht vorstellen, dass die das wirklich so meinen, aber wenn man so sorglos mit Nutzungsbedingungen umgeht, ist das Vertrauen irgendwie weg.

    Dies, plus die Tatsache, dass die usability immer schlechter und fehlerbehafteter wurde (gefühlt mit jedem Update schlechter) hat mich 2020 dazu bewegt meine ganze damalige Firma auf Bitwarden umzustellen (OSS, regelmäßige offene Audits, bessere UX). Privat bin ich auch darauf umgestiegen und habe es nie bereut. Den Server kann man auch selber hosten. Das würde ich aber ehrlich gesagt lieber nicht machen. :-)

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39251 Artikel in den vergangenen 8424 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven