Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Lastpass erneut gehackt: Angreifer hatten Zugriff auf Kundendaten – Ausmaß noch unbekannt

Im August dieses Jahres gelang es Hackern, in interne Systeme von LastPass einzudringen und dadurch an sensible Informationen zu gelangen. Kundenkonten oder gar verschlüsselte Passwortdatenbanken erbeuteten sie nach Angaben des Unternehmens allerdings nicht. Nur drei Monate später kam es jetzt zu einem weiteren gravierenden Zwischenfall: Außenstehende hatten erneut Zugriff auf Daten. Die beiden Vorgänge stehen miteinander in engem Zusammenhang.


Angreifer hatten Zugriff auf Kundendaten
Ziel des jüngsten Angriffs waren nicht die Server des Unternehmens selbst, sondern ein externer Cloud-Service. Dieser wird sowohl von LastPass als auch GoTo genutzt und dient dem Datenaustausch zwischen den beiden Diensten. Das teilte LastPass-CEO Karim Toubba in einem Blogbeitrag mit. Die Hacker nutzten dabei seinen Angaben zufolge Informationen, welche bei der Attacke im August dieses Jahres erbeutet wurden. Das genaue Ausmaß der jetzt abgeschnorchelten Daten ist dem Unternehmen laut Toubba derzeit noch nicht bekannt. Betroffen seien „bestimmte Elemente, die im Zusammenhang mit Kundeninformationen stehen“, heißt es in dem Blogpost. LastPass hat die Sicherheitsfirma Mandiant mit der Analyse des Vorfalls beauftragt und gleichzeitig die zuständigen Strafverfolgungsbehörden alarmiert.

LastPass-CEO: Passwörter der Nutzer nicht gefährdet
Toubba beteuert, dass die Passwortdatenbanken der LastPass-Nutzer dank der „Zero Knowledge“-Architektur nach wie vor sicher verschlüsselt und daher durch den Angriff nicht gefährdet seien. Der Cloud-Service des Unternehmens wurde seinen Angaben zufolge durch den Hack nicht beeinträchtigt und funktioniert einwandfrei. LastPass werde weitere Sicherheitsvorkehrungen treffen und zusätzliche Kontrollmöglichkeiten schaffen, so Toubba. Eine solche Zusage hatte der CEO des Unternehmens bereits nach dem Vorfall im August abgegeben. Sollten die damals angekündigten Maßnahmen tatsächlich umgesetzt worden sein, boten sie offensichtlich keinen hinreichenden Schutz vor dem jüngst erfolgten Angriff. Das Unternehmen will die Kunden im hauseigenen Blog informieren, sobald ihm Details zur Attacke vorliegen.

Kommentare

xcomma01.12.22 15:13
Auch wenn vorgeblich keine sensiblen Kundendaten betroffen gewesen seien, wirft es doch kein gutes Licht auf die Firma. Abgesehen davon, dass solche Dienstleister erst Recht ein lohnenswertes Ziel von Angriffen sind, ist es recht hirnverbrannt, wenn man als Benutzer gerade solche Daten quasi "aus den Händen" gibt (hier also in der Cloud eines Serviceanbieters) ablegt. Ja, es mögen Komfortfunktionen damit einhergehen, aber bei Credentials sollte man keine solchen Kompromisse eingehen. 1Password steuert ja bereits in dieselbe Richtung mit ihrem zukünftigen Zwang ihre Cloud benutzen zu müssen, da es lokale Vaults ab Version 8 nicht mehr geben wird wird für mich nur eines bedeuten: Abkehr zu anderen Lösungen, wenn meine Version 6 irgendwann unbenutzbar wird durch macOS Upgrades oder sonstige Veränderungen.
+6
globalls
globalls01.12.22 15:16
Hi Folks,
für als Normalo und Verwender von 1Password 7 (über iCloud) fürchte mich schon etwas, ob ich das richtig mache mit dem Abgleich über iCloud. Zum einen ist der Easy Access aufgrund des Syncs leiwand, aber wie sicher sind meine Daten dort wirklich? und was ist die Alternative?
Was kann also passieren, wenn die Datenbanken von 1P7 gehackt werden? Die dürften ja nicht unverschlüsselt sein. Versteh das alles nicht als Otto Normalverbraucher.
Da sollte man dann wohl auf den Schlüsselbund umsteigen...

Danke für Eure Aufklärung....
Muss ich denn alles selber machen?
0
gevaugeh01.12.22 15:19
xcomma
... ist es recht hirnverbrannt, wenn man als Benutzer gerade solche Daten quasi "aus den Händen" gibt (hier also in der Cloud eines Serviceanbieters) ablegt...

Ach da wird es mir doch immer warm ums Herz, wenn man von wildfremden "Experten" als hirnverbrannt bezeichnet wird. Besonders, wenn diese immer Cloud mit unsicher und lokal mit sicher gleich setzen.
+5
jmh
jmh01.12.22 15:23
deswegen mag ich keine clouds. und auch keine abos. 1password 7 mit lizenz funktioniert hier noch, aber ich gewoehne mich gerade an enpass.

die moeglichkeit, die login-daten lokal ueber einen wifi-server zu synchronisieren, gefaellt mir sogar etwas besser als die bisher verwendete 1-password-option. denn hier kann ich zwei macs direkt synchron halten, ohne immer den umweg uebers iphone gehen zu muessen.
wir schreiben alles klein, denn wir sparen damit zeit.
+3
xcomma01.12.22 15:27
gevaugeh
Ach da wird es mir doch immer warm ums Herz, wenn man von wildfremden "Experten" als hirnverbrannt bezeichnet wird. Besonders, wenn diese immer Cloud mit unsicher und lokal mit sicher gleich setzen.
Das beste sind doch immer Leute, die es genauso verstehen wollen, wie sie es wollen, aber nichts kapieren. Ob es nun Cloud heisst oder doch einfach nur Serverinfrastruktur ist völlig Wurst und die "Cloud Debatte", die du versuchst anzureissen, ist eine ganz andere.
Darum geht's auch nicht, sondern, dass es Prinzipien gibt, und eines von denen ist zumindest für mich, dass Passwörter aber auch gar nichts bei anderen - wer / wo / auf was - was zu suchen haben.
+7
Marcel_75@work
Marcel_75@work01.12.22 15:31
Bin aufgrund der Entwicklung bei 1Password (bald nur noch Abo und dann auch kein lokaler Sync mehr möglich) erst auf Enpass umgestiegen und mittlerweile mit Bitwarden sehr zufrieden.

Bitwarden kann man auch 'auf eigenem Blech' betreiben (läuft bei mir in einer Debian-VM auf dem NAS) und das ist nur per VPN erreichbar.

Die Updates des Bitwarden-Servers waren bisher (mittlerweile einige Monate) auch unproblematisch, aber etwas Linux-/Unix-Grundkenntnisse sollten schon vorhanden sein.

Aber wer das nicht zum ersten mal macht, wird damit sicher nicht überfordert sein. Ich kann es aus eigener Erfahrung empfehlen.



PS: Und wer sich das nicht zutraut, für den gibt es auch fertig gehostete Varianten:

+1
gevaugeh01.12.22 15:31
xcomma

Du kannst Prinzipien haben wie Du willst, aber trotzdem muss man andere Menschen oder Ihr Vorgehen nicht als hirnverbrannt bezeichnen.
+5
massi
massi01.12.22 15:48
Du kannst Prinzipien haben wie Du willst, aber trotzdem muss man andere Menschen oder Ihr Vorgehen nicht als hirnverbrannt bezeichnen.
Wenn sie's aber doch sind.
-2
esc
esc01.12.22 16:00
Da verzichte ich lieber auf etwas Komfort und bleibe bei Apple, da habe ich mehr Vertrauen in die Sicherheit.
0
typneun01.12.22 16:19
esc
Da verzichte ich lieber auf etwas Komfort und bleibe bei Apple, da habe ich mehr Vertrauen in die Sicherheit.

Lustig.
+1
system7
system701.12.22 16:21
Apple und Google wissen ohnehin alles über mich. Viel weiß auch meine Bank und die Kreditkartenfirma.

Die Cloud von 1Password und Last Pass wollte ich aber tatsächlich nicht nutzen. Das war mir etwas zu heikel. Zumindest vertraue ich iCloud da etwas mehr.

Die Frage ist, ob eine lokale Speicherung besser ist: Wenn der Rechner defekt ist, war es das. Wenn die Bude abfackelt, auch. Eine ausgedruckte Excel-Liste ist relativ sicher, wenn man allein wohnt und die Wohnung einigermaßen einbruchssicher ist.

Ich habe allerdings Angst davor, mal einen Unfall zu haben und dann meine Generalkennwörter nicht mehr zu kennen. Dann können sie mich bitte gleich ins Jenseits befördern.
-5
xcomma01.12.22 17:17
system7
ob eine lokale Speicherung besser ist: Wenn der Rechner defekt ist, war es das. Wenn die Bude abfackelt, auch. Eine ausgedruckte Excel-Liste ist relativ sicher, wenn man allein wohnt und die Wohnung einigermaßen einbruchssicher ist.
Das sind natürlich Problemstellungen, die es - ungeachtet des initialen Themas - auch so zu lösen gilt. Ich würde definitiv nicht nur 1 "Datenbank-Instanz" des "Password Safes" halten. Eben wie du schreibst, wenn das Gerät kaputt geht, oder einfach auch sonst die Datei korrupt wird. Daher auf jeden Fall multiple Kopien, womit man z.B. durch Sync auf mobile Geräte schon mal einen kleinen Schritt weiter wäre.

Im Moment habe ich die 1Passwort Daten 3x "in Sync", aber ist auch nichts langfristiges. Evtl. ist ein Klartext Export mit anschliessender GPG Verschlüsselung und Abspeicherung wiederum in multiplen Kopien, inkl (ach du meine Güte ) sogar in "eigenem Cloud Storage". Klar, die Frage schliesst dann an: was ist mit den Keys und der Passphrase. Es nimmt kein Ende

Bzgl. Gedächtnisverlust und/oder Wohnungsbrand, könnte man an besagten Klartextausdruck denken und den in einem Bankschliessfach deponieren (sollte man eh schon eins haben, wunderbar). Problem: je nach Veränderungsdynamik des "Vaults" ist das umständlich "upzudaten" bzw. hinkt immer "Versions-technisch" hinterher.
system7
Ich habe allerdings Angst davor, mal einen Unfall zu haben und dann meine Generalkennwörter nicht mehr zu kennen.
Ja, Papierausdruck wäre vielleicht was, wenn man sich dann ebenfalls noch erinnern kann, dass man so was hat und wo das hinterlegt ist. Nicht einfach das Thema, was man zusätzlich erweitern kann zum Stichwort "digitaler Nachlass".
+1
fleissbildchen01.12.22 17:21
MTN
Die Hacker nutzten dabei seinen Angaben zufolge Informationen, welche bei der Attacke im August dieses Jahres erbeutet wurden.

Sie haben nach dem Einbruch nicht sofort alle Passwörter geändert? Nicht zu fassen.
+1
xcomma01.12.22 17:22
gevaugeh
xcommaDu kannst Prinzipien haben wie Du willst, aber trotzdem muss man andere Menschen oder Ihr Vorgehen nicht als hirnverbrannt bezeichnen.
Im Gegensatz zu dir, ist mein Eingangskommentar nicht persönlich.

Hätte man es anders formulieren können? Vermutlich.
Die Essenz wäre dennoch dieselbe: ich halte diese Art der Dienstleistung für nicht sinnvoll und Benutzer solcher Services sind zwar gegenüber Benutzern, die noch weniger "tun" schon besser dran (irgendwie), aber es ist aus meiner Sicht dennoch unvernünftig.

Wenn man alles und jedes persönlich nimmt in der Welt, würde man nicht zur Ruhe kommen. Das hier sind einfach Kommentare und somit praktisch immer subjektiv.
Wenn du das persönlich nimmst, obwohl ich keinen persönlich angesprochen habe, ist das ebenfalls dein ganz persönliches Problem.
+5
bjtr
bjtr01.12.22 18:58
Und lokale nas sind so viel sicherer weil? Wenn nur mit VPN erreichbar dann vielleicht aber sonst eher nicht.
LastPass würde ich trotzdem nicht nutzen seit dem bekannt wurde das die tracker von Google und Facebook on ihrer Software verwenden. 1Password ist mir zu teuer… ich nutze keepassxc, auch wenn etwas Komfort fehlt.
Soon there will be 2 kinds of people. Those who use computers, and those who use Apples.
-1
SYS64738
SYS6473801.12.22 19:05
… ich erwarte zitternd das Urteil: ich verwende iPin….
0
kofel01.12.22 21:43
Ich nutze 1Password seit 2004. Jetzt habe ich eben die Familienlizenz um rd. 65,- pro Jahr. Möchte den Komfort nicht mehr missen.

UND: ja, ich vertraue 1PWD! Habe noch nie etwas negatives darüber gelesen. Ausser das Raunzen bzgl. des Preises.

Zur Sicherheit: jede Einrichtung auf einem neuen Gerät verlangt nicht nur User und das Passwort, sondern auch den Secret Key. Zudem gibt es 2FA mit APP bzw. seit neuestem mit FIDO Token!
Und man erhält bei jeder Anmeldung auf einem weiteren Gerät ein Mail mit der Info darüber.
Man kann auch die Geräteliste bearbeiten und Geräte, die eingerichtet wurden selektiv rauswerfen.
Was will man also mehr?
Ich bin 100% zufrieden damit. Für mich DER beste Passwortmanager.
-3

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.