LastPass bestätigt Sicherheitsvorfall

Kunden des Passwort-Managers LastPass bekommen aktuell Post. Darin informiert man, dass das Unternehmen vor zwei Wochen eine verdächtige Aktivität in der Entwicklungsumgebung festgestellt hat. Es stellte sich heraus, dass Dritte es durch einen einzelnen gehackten Entwickler-Account geschafft haben, Quellcode und technische Informationen von LastPass zu stehlen. Man hat keinerlei Hinweise darauf gefunden, dass Kundendaten oder verschlüsselte Passwörter entwendet wurden. 

Infolge des Zugriffs hat man nun eine Sicherheitsfirma damit beauftragt, weitere Schutzmaßnahmen zu ergreifen, dass derartige Vorfälle nicht noch einmal auftreten können. Laut LastPass ist es nicht notwendig, das Master-Passwort oder andere Daten zu ändern. Es soll diesbezüglich aber weitere Updates geben. Das ist leider nicht die einzige Sicherheitslücke von LastPass, in der Vergangenheit ist man auch schon aufgefallen.

In diesem Artikel sind Partner-Links enthalten, wir kennzeichnen ihn daher als Werbung. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

44 Kommentare

  1. Warum nicht gleich einen OpenSource Passwortmanager verwenden? So kann man sich einen derartigen Sicherheitsvorfall ersparen.

    • Wieso?
      Also da kann keine Böse Seele im Sourcecode was ändern.
      Kann ja jeder rumspielen damit.
      Und ja man kann den source ja prüfen aber ob es alles programmierer sind wo böse Änderungen sehen. Lach
      Plus 5 stunden lernen wie mans bedient typisch opensourcer.

      • Zahl halt weiter und hoffe das nichts passiert, ich bin mit KeePass super zufrieden, und nein, es sind keine 5 Std. Einarbeitungszeit, die Datei liegt dort wo ich sie haben will und es läuft auf allen Plattformen.

        • Der Kommentar says:

          Der Vorteil und auch die Sicherheit von Keepass liegt darin, dass ich volle Kontrolle darüber habe, wo meine Daten liegen. Selbst wenn da irgendwo eine Sicherheitslücke sein sollte.
          Ich habe mein Passwort-File auch in der Cloud, sonst wäre eine Nutzung über mehrere Systeme kaum möglich. Aber keiner weiß wo, wie die Daten heißt und ich kann es jederzeit ändern.

          • Ich hoffe dein einziges Sicherheitskonzept ist es nicht die Datei „hiergibtsnichtszusehen“ zu nennen sondern dass du neben der dabei mit den Passwörtern in der cloud auch eine Schlüssel datei lokal auf den Geräten (aber nicht in der cloud hast), damit man es nur in Kombination und zusätzlich auch noch mit einem guten Passworts entsperren kann.

          • Hast du die volle Kontrolle über deine Cloud? Also eigener Server mit selbst geschriebener Software? Oder glaubst du tatsächlich, du hast die volle Kontrolle nur weil du weißt wo deine Datei liegt?
            Träum weiter.

            • Der Kommentar says:

              @termel: Das Passwort ist „sehr gut“. Mehr als 20 Zeichen. Zusätzlich benötigt man ein KeyFile, was entsprechend auf allen Geräten lokal liegt. Die Dateinamen lassen nicht darauf schließen um was es sich handelt.
              @Ralph: Eine Datei aus der man nicht schließen kann um was es sich handelt ist auf jeden Fall sicherer als irgendein Passwortdienst.
              Und nein ich träume nicht. Ich habe aber, da der Cloud Dienst auch entsprechend abgesichert ist (2FA) zusätzliche sicherheitshürden. Der Angreifer muss also erstmal die Anmeldung der Cloud überwinden, er muss die KeepassDatei als solche erkennen und dann auch diese noch „knacken“.
              Ein Passwort Dienst ist für Passwörter da, da wird ein angreifer gezieht auf die Suche gehen. In meiner Cloud findet er nur eine paar KB große Datei mit dem Namen ?fjfuXrjduZe%#.tmp

              • „?fjfuXrjduZe%#.tmp“ Wenn ich suchen müsste wäre das doch genau wonach ich suche! Auffälliger gehts doch nur noch mit direktem Bezugsnamen.

      • KeePass hat ein Audit der EU bestanden.
        Und eben durch Open Source wird es dem bösen Programmierer schwerer gemacht. Bei solchen Projekten kann niemand direkt Code pushen, somit gibt es eigentlich immer schon direkt eine Kontrolle.
        Hingegen kann der böse Entwickler bei Closed Source immer etwas verstecken, weil er mehr Möglichkeiten hat.

        Und um ehrlich zu sein, wer mit KeePass überfordert ist, ist vielleicht auch schon überfordert einen Computer ordentlich zu bedienen und sollte vielleicht dann gleich die Finger von IT lassen.

        • Keepass wär zwar auch nicht meine Wahl, aber das eigentlich nur aufgrund des 90er Jahre Designs. Aber zum Glück gibt es ja noch weitere modernere OpenSource Alternativen

        • Wann war das Audit?
          Wer hat seit dem alles an dem Code herumgepfuscht?
          Gibt es auch Audits für alle Forks, Clients und Erweiterungen von KeePass?
          Wie oft werden die Audit aktualisiert?

          • Der letzte Audit war 2020, du kannst in der öffentlichen Repository nachschauen, wer was hochgeladen hat.

            • Also schon zwei Jahr Zeit da etwas einzuschleusen. Und wie sieht es mit den Clients und Erweiterungen aus, ohne die KP ja nicht funktioniert?

              Was nützt mir das Nachgucken wer was hochgeladen hat? Macht es den Code sicherer? Kennst Du jeden der Mitarbeiter persönlich? Checkst Du vor jedem Update den Source? Verstehst Du alle Änderungen im Sourcecode?

              • Ich verstehe: Du schreibst alle Deine Software selbst, weil Du die einzige Person bist, der Du vertraust 😉

                • Hä? Ich wollte nur mit der Mär aufräumen, dass OSS per se sicherer oder besser ist als Closedsourcesoftware.

              • Holger Kremers says:

                Wie wäre es, wenn du jetzt mal deinen Rechner abschaltest. Oder verwendest du ein selbst geschriebenes Betriebssystem mit einem selber geschriebenen Browser. Da für dich ja alles per se unsicher ist, nützt dir auch das Passwort im Kopf nix, denn die Verschlüsselung im Browser und Webserver ist bestimmt schon durch Fremdcode kompromittiert.

                Du kannst also nur abschalten. Oder eine Lösung verwenden, auf die möglichst viele Augen draufschauen.

        • In der Realität ist die Benutzung von Computern durch Leute, die mit solchen Dingen überlastet sind völlig normal. Ich würde gar behaupten „systemrelevant“ um es ausreichend dramatisch zu formulieren. Da ist so eine Aussage mit „vielleicht lassen“ völlig sinnfrei, eher nur beleidigend von einer eingebildet höheren Position(überheblich) aus.
          Ich sehe das eher so, dass sich die Entwicklung an die Realität anpassen muss, statt die Realität an die Entwicklung. Alles andere wäre nämlich idiologisch und damit schon per Definition falsch, bzw. nicht fortschrittlich, sondern direkt der Weg in eine Sackgasse.

          • Dem würde ich mich zwar anschließen, aber etwas weniger Faulheit und Ignoranz (sich mit dem Themen incl. IT-Sicherheit auseinandersetzen) und dafür ein wenig mehr Eigeninitiative und Ausbildung würde vielen Menschen durchaus gut stehen. Wer Autofahren will, braucht man auch einen Führerschein…
            Gerade weil IT heute überall dazugehört und damit eine Schlüsselkompetenz ist, sollte sich jeder Nutzer ein bisschen mit den Basics beschäftigen.

        • 100%ige Sicherheit gibt es nie. Siehe openssl Probleme und ähnliche in der Vergangenheit. Nen Manager zu nehmen wo man selbst bestimmen kann wo die DB liegt ist sicher von Vorteil, aber das Potential für Sicherheitslücken im Client wird es immer geben. Menschen machen Fehler und wirklich mehrfache und tiefgehende Code Reviews kann sich kaum wer leisten. Vor allem wenn sie jegliche Ebene umfassen soll.

      • Tja Marc, was soll man da noch sagen. Die Zeit für solch eine Antwort hättest bestimmt auch besser nutzen können. Aber naja, dem einen fällt es leichter, den anderen schwerer eine Software zu bedienen. Laut deinem Posting dürfte es dir ja schwerer fallen, dann aber bitte nicht von dir auf andere oder alle Leute schließen, die damit zurechtkommen.

        • Ein gewisser Bildungsstand ist eben notwendig, beim Auto muss man auch einen Test bestehen und ein modernes Computersystem im Internet hat das potential ähnlichen Schaden anzurichten.

          • Darüber könnte man nachdenken, eine Art Führerschein verpflichtend zu machen. Derzeit kann das aber nicht vom Nutzer, insbesondere von einem Anfänger erkannt werden, es fehlt schlicht an Bewusstsein, da eben zu wenig Wissen. Daher ist die Idee, dass etwas da sein muss irrelevant für den Nutzer. Hier wäre der Gesetzgeber gefragt, nur der ist mit an Sicherheit grenzender Wahrscheinlichkeit noch viel ahnungsloser. Es ist 2022 in Deutschland!

      • Du verstehst aber schon den Sinn und Zweck von Opensource? Gestandene Projekte, wie Keepass z.B., haben eine ganz andere Aufmerksamkeit bei Nutzern, etc.. Da würde es recht schnell auffallen wenn jemand was reincoden würde was Schaden anrichtet. Wer garantiert dir das Lasspass keinen Gammelcode im Programm hat? Wobei, den haben sie ja, mindestens in 5 Trackern, welche die Android-App verseucht. Und dir ist auch bewusst, das Lastpass eine US-Firma ist und damit diversen Gesetzen unterliegt, auch diesen ganzen pseudodemokratischen wie „Daten her, ihr dürft aber niemanden etwas sagen“…

        • Das dachten alle auch von OpenSSL, bis Heartbleed entdeckt wurde. Bugs können immer entstehen, auch in OpenSource Projekten. Mit Geld lässt sich viel infiltrieren, auch OS-Projekte. Das ist vielleicht aufwendig, aber auf jeden Fall möglich.

  2. Schon vor einigen Jahren, als der erste größere Zwischenfall bei LastPass aufgetreten war, habe ich dem Anbieter den Rücken gekehrt. Es zeigt sich erneut, dass man seine Passwörter besser nicht einem (und vor allem nicht diesem) Cloudanbieter überlässt…

  3. Uff da bin ich ja glücklich das meine PWs in Firefox verschlüsselt sind und auf handy und nicht bei der Firma.

    • Fail. Kennwörter gehören nicht in die Cloud. Genauso wie der Zugriff auf Systeme muss alles via Hardware Token abgesichert werden.
      MFA wird ausgetrickst, das bringt alles nix.

      • Peter Lustig says:

        Ansichtssache. Es kommt darauf an, wer die „Cloud“ betreibt. Ich nutze eine selbst-gehostete Bitwarden Docker Instanz die zusätzlich 2FA nutzt. Ist man also der eigene Betreiber der Passwort Cloud, kann man das schon so machen. 😉

      • Unfug. Wichtig ist, dass lokal verschlüsselt wird. Den verschlüsselten Schlüsselbund kann man auch ausdrucken und ans schwarze Brett hängen, da passiert gar nix. Maximalforderungen helfen im Sicherheitsbereich gar nichts, es muss praktikabel sein, sonst nutzt es keiner.

  4. Und da ist es passiert. Es war jemand im System, man beschwichtigt, hat jetzt jemanden beauftragt der wahrscheinlich ein Zertifikat ausstellt das alles okay ist!1!! Wie vertrauenswürdig sind solche Klitschen? Die sensibelsten Daten die man als Internetuser haben kann in einer im Internet zu speichern und zu hoffen das alles schon gut gehen wird… Für mich naiv. Klar, mir kann auch jemand meinen heimischen Rechner infiltrieren, meine lokalen Daten kopieren, Schabernack damit anstellen. Aber von Anfang an Passwörter, etc. in einen Webspeicher auszulagern, aus purer Bequemlichkeit und weil es ja „hipp“ ist und modern. Dann hat man es nicht anders verdient!

    • Noch eine Ergänzung: Die App für Android beinhaltet 5 Tracker. In einem Passwortmanager. Absoluter Fail!
      – AppsFlyer
      – Google CrashLytics
      – Google Firebase Analytics
      – Pendo
      – Segment

    • Ist doch bei Google, Apple und MS im Prinzip auch nichts anderes und in deren Integrierten Managern werden Milliarden Menschen ihre PWs online sichern.

  5. Lustig wie direkt jedes Unternehmen einen Shitstorm erntet sobald dort etwas „passiert“. Selbst in diesem Fall, in dem es für LastPass spricht, dass hier die Schwachstelle ein Entwickler, bzw. dessen (ggf. unsicherer) Account war und nicht beispielsweise der Code oder die Server von LastPass…

    @ Marcel vielen Dank für soviel off topic – der eine halbe Satz am Anfang mit „Es war jemand im System“ hätte gereicht, aber tob dich aus 🙂

    • Es ist für eine sicherheitskritische App schon relevant welche Tracker mitlauschen. Selbst wenn sie nicht aktiv sind, das Kit ist vorhanden. Und sehr gerne. Ich habe die App mal installiert. Ohne eine Interaktion, ohne etwas zu bestätigen, wird nach dem Start sofort mit Google und anderen Servern kommuniziert. Nicht DSGVO-konform. Als Nutzer habe ich gar keine Möglichkeit zu widersprechen.

      • Das mit den Trackern ist nichts neues und off topic… Als Nutzer hast du die Möglichkeit dir einen anderen Cloud Dienstleister auszuwählen

    • Ein unsicherer Account? Wenn das System unsicher ist, sollte man LastPass kein Vertrauen schenken. Immerhin geht es hier um Passwörter. Wenn ein Entwickler eines Passwortmanagers allerdings ein schwaches Passwort nutzt, ist das sogar noch bedenklicher.

    • Naja, wenn so oft wie bei LastPass „etwas passiert“, dann ist das schon einen Shitstorm wert.

  6. [ laughs in bitwarden ] Natürlich kann so etwas immer wieder passieren und solche Vorfälle sensibilisieren hoffentlich alle Entwickler vorsichtiger zu sein. Dennoch konnte ich mir ein schmunzeln nicht verkneifen, da mich LastPass mit Preisen vergrault hat und ich dadurch Herr meiner Daten mittels selbstgehosteten Passwortmanagers wurde und ich an dieser Stelle nochmal darauf aufmerksam machen möchte. Schaut euch die Alternativen zu LastPass an.

  7. Warum wundert mich das nicht? Aber mich wundern die Leute, die ihre Passwörter bei Fremden im Internet speichern und dafür noch zahlen.

    Ich selbst nutze KeePass (XC) + KeePassDX + Syncthing.

    • Und für iOS

      Ich habe letztens tatsächlich mal die Jahresgebühr bei LastPass eingeworfen, weil mir das als die einfachste Lösung erschien. Außerdem nutze ich LP bestimmt bald 10 Jahre.

      • Ich habe mal hier in Kommentaren ziemlich oft gelesen, dass es auch eine App, die KeePass-Datenbanke öffnen/bearbeiten kann, für iOS gibt. Versuche mal unter den Artikeln über KeePass und KeePassDX zu suchen.

        Die Lösung mag vlt am einfachsten sein, aber es geht hier um sehr sensible Daten. Und sie möchte ich ganz bestimmt nicht auf einem Server, wo ich nicht weiß wer alles Zugriff darauf hat, speichern. Mag der Betreiber auf seiner Internetseite mir versprechen alles was er will.

        Bei KeePass/KeePassDX kann ich Internetzugriff blocken. Und da KeePass ziemlich populär, vor allem unter den ITler, ist, wird es ziemlich schwierig sein, da Schadcode reinzuschmuggeln.

        100% Sicherheit gibt’s nie, aber trotzdem besser als auf einem unbekannten Server, wo ein unbekannter Code läuft und man nie weiß, wer alles Zugriff darauf hat, zu speichern.

  8. Ach bekamm erst heute ein email wegen Lastpass von der Firma.
    Hatte mal aus spass alle Passwort Cloud Firmen wo Android in der Einstellung unterstützt, angeschaut und mich angemeldet, die Preise waren hoch den lieber offline per FF und die PW Manager wo man einmal zahlt für pro Version im google play, sind den nicht system weit einrichtbar per Android Einstellung.

    Hätte ja den Norton 360 mobiel den pw Manager im Abo dabei, aber der läßt sich nur per PC/Mac Norton 360 einrichten und nicht per mobiel Norton und ich hab kein PC nur Handy.

  9. Lustige Jehova-Diskussion, die leider inhaltlich völlig am Thema vorbei ging. Wer die Vault-Sicherheitsarchitektur kennt, die Salted-Hash-Strategie und die Nutzung von PBKDF2-SHA256 rounds, der wird hier keine Diskussion über vermeintliche Sicherheitsrisiken führen. Außer eben, es geht nicht um Inhalte, sondern um den Vorgang, seine eigene Nutzungsentscheidung vor anderen zu rechtfertigen. Ganz im Sinne von „wer will schöne runde Steine für die Steinigung?“.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.