LastPass: Kein unbefugter Zugriff durch Dritte
von caschy | 2 Kommentare
LastPass kam jüngst in die Medien, da es einige Nutzer gab, die behaupteten, dass sie Login-Mails vom Anbieter bekamen. Nur: sie hatten sich nicht eingeloggt, befürchteten also, dass jemand ihr Hauptpasswort bekommen hat. Alle Login-Versuche wurde aus einem IP-Adressbereich vorgenommen. LastPass entkräftete das Ganze relativ schnell, hat aber auch weiterführende Informationen nachgeliefert.
Man habe diese Vorgänge untersucht und hat derzeit keine Anzeichen dafür, dass LastPass-Konten durch einen unbefugten Dritten als Ergebnis „Credential Stuffing“ kompromittiert wurden. Anmerkung: Credential Stuffing ist eine Methode, die zuvor geleakte oder anders erlangte Anmeldedaten nutzt, um sie für den Zugang bei anderen Diensten (massenhaft) auszuprobieren.
Man hat auch keine Anzeichen dafür gefunden, dass die LastPass-Anmeldedaten von Benutzern durch Malware, betrügerische Browser-Erweiterungen oder Phishing-Kampagnen abgefangen wurden. Aus Gründen der Vorsicht habe man jedoch weiter nachgeforscht, um herauszufinden, was die automatischen Warn-E-Mails in den Systemen ausgelöst hat. Die Untersuchung hat ergeben, dass einige der Sicherheitswarnungen, die an eine begrenzte Gruppe von LastPass-Benutzern gesendet wurden, wahrscheinlich irrtümlich ausgelöst wurden. Infolgedessen hat man die Sicherheitswarnungen angepasst und dieses Problem wurde inzwischen behoben.
Kurzform: (Automatisierte) Angreifer nutzten vermutlich irgendwo erlangte Zugangsdaten aus anderen Leaks und laut den Aussagen von LastPass hat das System wahrscheinlich irrtümlich Mails an die Nutzer gesandt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wahrscheinlich = Sie wissen es nicht. Wenn das dann von den Medien aufgegriffen wird und wie hier als Fakt in den Titel gestellt wird, dass es definitiv keinen Zugriff gegeben hätte, lief das ja optimal für LastPass, insbesondere da viele eh nur Überschriften lesen.
Man speichert keine kritischen Daten auf fremden Servern (Cloud). Dann muss man sich auch nicht fragen ob die ein „Datenupsi“ haben.
Würde mir im Traum nicht einfallen meine Passwörter bei anderen zu speichern. Weil es bequem ist?
Auswendig lernen oder aufschreiben (legitim). Wenn mir ein unwichtiger Account aufgezwängt wird, merke ich mir die Logindaten jedoch nicht, ich setze jedes Mal das Passwort zurück. Das ist einerseits Priorisierung, andererseits Datensparsamkeit und wohl auch Faulheit.