LastPass-Server von OpenSSL-Lücke betroffen

Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.

Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.

Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.

Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.