Lastpass erneut gehackt: Angreifer hatten Zugriff auf Kundendaten – Ausmaß noch unbekannt
Im August dieses Jahres gelang es Hackern, in interne Systeme von LastPass einzudringen und dadurch an sensible Informationen zu gelangen. Kundenkonten oder gar verschlüsselte Passwortdatenbanken erbeuteten sie nach Angaben des Unternehmens allerdings nicht. Nur drei Monate später kam es jetzt zu einem weiteren gravierenden Zwischenfall: Außenstehende hatten erneut Zugriff auf Daten. Die beiden Vorgänge stehen miteinander in engem Zusammenhang.
Angreifer hatten Zugriff auf KundendatenZiel des jüngsten Angriffs waren nicht die Server des Unternehmens selbst, sondern ein externer Cloud-Service. Dieser wird sowohl von LastPass als auch GoTo genutzt und dient dem Datenaustausch zwischen den beiden Diensten. Das teilte LastPass-CEO Karim Toubba in einem
Blogbeitrag mit. Die Hacker nutzten dabei seinen Angaben zufolge Informationen, welche bei der Attacke im August dieses Jahres erbeutet wurden. Das genaue Ausmaß der jetzt abgeschnorchelten Daten ist dem Unternehmen laut Toubba derzeit noch nicht bekannt. Betroffen seien „bestimmte Elemente, die im Zusammenhang mit Kundeninformationen stehen“, heißt es in dem Blogpost. LastPass hat die Sicherheitsfirma Mandiant mit der Analyse des Vorfalls beauftragt und gleichzeitig die zuständigen Strafverfolgungsbehörden alarmiert.
LastPass-CEO: Passwörter der Nutzer nicht gefährdetToubba beteuert, dass die Passwortdatenbanken der LastPass-Nutzer dank der „Zero Knowledge“-Architektur nach wie vor sicher verschlüsselt und daher durch den Angriff nicht gefährdet seien. Der Cloud-Service des Unternehmens wurde seinen Angaben zufolge durch den Hack nicht beeinträchtigt und funktioniert einwandfrei. LastPass werde weitere Sicherheitsvorkehrungen treffen und zusätzliche Kontrollmöglichkeiten schaffen, so Toubba. Eine solche Zusage hatte der CEO des Unternehmens bereits nach dem Vorfall im August abgegeben. Sollten die damals angekündigten Maßnahmen tatsächlich umgesetzt worden sein, boten sie offensichtlich keinen hinreichenden Schutz vor dem jüngst erfolgten Angriff. Das Unternehmen will die Kunden im hauseigenen Blog informieren, sobald ihm Details zur Attacke vorliegen.