LastPass: Lücke gab unter Umständen Zugriff auf Logins


Bei LastPass hat man letzte Woche ein Update für die Browser-Erweiterung verteilt. Der Grund dafür ist kein trivialer, denn mit dem Update wird eine Sicherheitslücke geschlossen, die unter Umständen Zugriff auf gespeicherte Passwörter gegeben hat. Bei einer Sicherheitslücke in einem Passwortmanager schaut man natürlich genauer hin, immerhin beherbergt solche Software in der Regel Zugangsdaten, die man besonders schützen möchte.

Wieder einmal war es ein Sicherheitsforscher von Googles Project Zero, der die Lücke entdeckt hat. Tavis Ormandy hat die Lücke auch direkt an LastPass gemeldet, die dann zwei Wochen später schon das Update für die Browsererweiterungen veröffentlicht haben. Es wird außerdem davon ausgegangen, dass die Lücke nicht ausgenutzt wurde.

Was aber war möglich? Ein Nutzer konnte auf eine präparierte Webseite gelangen, die dann, sofern der Nutzer Aktionen auf der Seite ausgeführt hat, die Logindaten des zuletzt von LastPass ausgefüllten Logins, abgreifen konnte. Es geht also „nur“ um die zuletzt verwendeten Logindaten, ein Zugriff auf alle Passwörter ist mit dieser Lücke nicht möglich.

Der Nutzer muss indes nicht tätig werden, es sei denn er verhindert irgendwie die automatischen Updates von Browser-Erweiterungen. Details zum mit Version 4.33.0 der Erweiterung gefixten Bug gibt es an dieser Stelle. LastPass geht unterdessen davon aus, dass nur Chrome und Opera für den Fehler anfällig waren, hat aber alle Versionen entsprechend gepatcht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

25 Kommentare

  1. Deshalb lieber einen Passwort-Manager wie keepass einsetzen, Masterkey selbst verwalten und 2FA benutzen.

    • Das ist zu allgemein und lediglich ein „Keepass ist total supi“-Reflex. Auch bei Lastpass existiert 2FA und der Masterkey war offensichtlich nicht betroffen.

      • Es geht ihm wohl um die Datenhoheit. Ich bevorzuge diese Lösung auch. Ein Risikofaktor weniger.

        • Was aber für diese Art von Lücke per se erstmal egal ist. Wenn ich Keepass beibringe automatisch Login-Formulare auszufüllen, kann so ein Problem auch auftreten.

          • Das ist natürlich korrekt. Ist denn bei Lastpass die Funktion standardmäßig aktiviert? Denn bei KeePass muss man zumindest etwas mehr tun, als nur irgendwo im Programm einen Haken zu setzen, der ggf. bei Installation schon gesetzt sein könnte.

            Auch wenn das kein Argument in diesem Fall ist: Ich bevorzuge die Kontrolle und die Flexibilität von Programmen wie KeePass. Da kann dann auch gerne der Komfort ein bisschen drunter leiden.

    • Wenn man weißt was man tut schon, den meisten würde ich die Nutzung ohne Schlüsseldatei empfehlen. Liegt der Schlüssel ungesichert auf’m Handy oder gar im gleichen Cloud-Speicher, ist die Datenbank quasi offen…

  2. Da ein Login auf neuem Endgerät den zusätzlich zweiten Authentizitätsfaktor triggered, wäre ein Login Versuch darüber sowieso aufgefallen und gescheitert, oder?

  3. lieber bitwarden

  4. LastPass ist auch in der Vergangenheit öfter mit Lücken aufgefallen

    • Ach und andere Software wie z.B. Windows noch nicht oder wie? Lücken wird man immer wieder mal wo finden von daher nicht soviel sabbern beim geifern.

      • Faszinierend, wie Du auf eine objektive Feststellung mit Ablenkung und persönlichem Angriff antwortest, ohne dass Dir jemand etwas angetan hätte. Die Punkte „Whataboutism“ und „Ad hominem“ im Handbuch für den gemeinen Troll hast Du damit schon mal erfolgreich abgehakt.

  5. Wer immer noch LastPass nutzt, der hat echt den Schuss nicht gehört…

  6. Wer nutzt bitte freiwillig eine Passwort Manager der alle Daten auf einem Server des Herstellers ablegt? Lieber Keepass oder Enpass benutzen, da hat man selbst die Datenhoheit. Und dann rumjammern wenn die Server/Cloud Sicherheitslücken hat

    • Hans Günther says:

      Enpass habe ich versucht! Hat überhaupt nicht zufriedenstellend funktioniert!
      Bin jetzt bei Bitwarden gelandet. Das ist wenigstens OS.

    • Für Menschen mit Erfahrung in der IT ist deine Aussage sicher richtig. Aber wie sollte ich das meiner Frau oder meinen Kindern erklären? Die nutzen LastPass, weil es automatisch funktioniert.

      • Alles eine Frage der Herangehensweise.
        Frag doch deine Kinder mal, ob sie dir nicht ihre Facebook Login o.ä. via Whatsapp schicken können. Du würdest sie für sie zur Sicherheit aufbewahren. Würde mich nicht wundern wenn sie ihre Privatsphäre vor den eigenen Eltern schützen wollen und nein sagen. Dann hast du eine prima Argumentationsgrundlage, und zumindest ihre Aufmerksamkeit, was Datensicherheit in der Cloud betrifft. Zugegeben, etwas manipulativ. 😉

    • Wenn man synchronisieren will muss man ein Cloud-Speicher nutzen, nur die allerwenigsten habe eine eigene Cloud… Ich nutze auch Keepass, die Datenbank liegt aber in GDrive, fettes Masterpasswort drauf und den Google-Account mit 2FA gesichert, der Rest ist Glaube…

      • Kann mir mal jemand der KeePass-Fraktion erklären, wie man die Software sinnvoll mit einer 4-5 köpfigen Familie nutzt?
        Geht nicht?
        Danke,

        • Hans Günther says:

          Teilst du dir Passwörter mit deiner Familie? Ich tue das nicht.

          Von daher kannst du auch Keepass nutzen. Jeder hat sein File auf dem Cloud Laufwerk liegen und gut ist.
          Allerdings weiß ich nicht, wie die Formulare unter Android automatisch gefüllt werden können.
          Mit Bitwarden funktioniert das unter Android 9 sehr gut.

        • Sicher geht das. Jeder hat seine eigene DB. Hat ja auch jeder sein eigenes Endgerät mit einem gewissen kostenlosen Kontingent irgend einer Cloud. Oder nicht?

    • Soll auch Unternehmen geben, die sowas nutzen und hauptsächlich in der Cloud – also ihr Unternehmenskapital dort liegen haben – arbeiten. Jeder wie er mag. Es kommt ja immer auf die Argumentation an. Sagt einer zu mir: „Weils bequem ist.“ kann ich demjenigen seine Bequemlichkeit ja nicht absprechen. Seine Entscheidung. So ehrlich sind nur nicht alle. 🙂
      Und auch bei KP muss man wohl oder übel eine Cloud nutzen, wenn man jederzeit synchron sein möchte. Ob man dann Werkzeuge wie Cryptomator oder VeraCrypt als zusätzliche Absicherung nutzt… eine Frage der Bequemlichkeit. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.