"Keine Passwörter betroffen"
LastPass erneut gehackt: Zugriff auf Kundendaten bestätigt
Die Anbieter des Passwort-Managers LastPass müssen erneut eine Datenverlust eingestehen. Wie das Unternehmen mitteilt, haben unbefugte Personen auf Daten zugegriffen, die bei einem von LastPass genutzten externen Cloud-Speicherdienst abgelegt waren.
Die Details rund um den Vorfall sind noch etwas schwammig. Der Vorstandsvorsitzende von LastPass Karim Toubba spricht in seinem Statement davon, dass die Hacker „Zugriff auf bestimmte Elemente von Daten“ der Kunden von LastPass erlangt haben. Die von den Kunden gespeicherten Passwörter dank der Zero-Knowledge-Architektur von LastPass jedoch zu jeder Zeit sicher verschlüsselt seien.
Offenbar Informationen vom letzten Hack verwendet
Zumindest zu denken gibt allerdings der vom LastPass-Chef eingestreute Nebensatz, dass die Unbefugten den Zugriff mit Hilfe von Informationen, die sie beim Vorfall im August 2022 in ihren Besitz gebracht hatten, erlangt haben. Wir hatten über die Vorkommnisse berichtet, damals hatten ein oder mehrere Angreifer über einen Zeitraum von vier Tagen hinweg Zugriff auf interne Systeme des Anbieters, indem sie sich nach erfolgreicher Multifaktor-Authentifizierung als Entwickler ausgaben. Wie genau dies abgelaufen ist, blieb offen, der Angreifer hatte wohl auf eine bislang unbekannte Weise das Endgerät eines tatsächlichen Entwicklers kompromittiert.
LastPass hatte im Rahmen der Aufarbeitung des Vorfalls betont, dass deren Systemdesign und zusätzliche Kontrollmechanismen einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Vaults verhindert haben. Auch habe man keine Hinweise auf Versuche gefunden, gefälschten oder bösartigen Code einzuschleusen. Vollständig aufgearbeitet scheint die Angelegenheit mit Blick auf den aktuellen Vorfall allerdings nicht zu sein, denn die Aussage des Unternehmens, es gebe keinerlei Hinweise darauf, dass kriminelle Akteure auch nach dem fraglichen Zeitraum aktiv waren, wird durch das aktuelle Statement widerlegt.
Der LastPass-Chef will in seinem Unternehmens-Blog weiter über den Stand der Dinge informieren.
SUPER GAU
Können den Laden dicht machen, wenn Sie das Thema Sicherheit nicht verstehen.
Geht eigentlich, in der Mail steht explizit drin, dass keine Passwörter abgegriffen wurden, gibt also schlimmeres als eine offene Kommunikation zu einem vernachlässigbarem Problem.
Dann vielleicht beim nächsten Angriff? Wer möchte jetzt noch das Risiko eingehen, nachdem sie erneut gehackt wurden.
Nochmal lesen. Dann erübrigt sich die Aussage(!)
„vernachlässigbarem Problem“
= 3 Monate nach einem Hack die internen Passwörter nicht zu ändern?
Ich finde das mehr als grob fahrlässig. Definitiv sind Firmen die derartig schlampig arbeiten nicht empfehlenswert.
Das war doch einer von 1Password ;-)
SUPER GAU ist unlogisch.
GAU = Größter anzunehmender Unfall
;-)
GAU: In einen Apfelkuchen versehentlich Tomaten rein machen
Super GAU: Statt Äpfeln versehentlich Plutonium nehmen
Klugscheißer mag keiner!
Ich mag die ;-)
Das war es dann
Ich sag nur 1Password !! Seit Jahren, einfach perfekt
+1
Jetzt Werbung für eine Firma machen, die Passwörter sichert und online abrufbar macht, wirkt irgendwie komisch…
Passwörter einfach selbst lokal verwalten und synchronisieren.
Kannst du machen, wenn du 5 Passwörter hast. Bei mehreren Tausend, wie ich sie in 1P habe, wird es ziemlich anstrengend, denn man verzichtet damit auch auf die wirklich guten Apps und Browser-Erweiterungen, die 1P bietet.
Und online Abrufbar ist in erster Linie Datenbrei, der nur durch verschiedene Geheimnisse zu lesbaren Daten werden kann, die nur ich kenne. Insofern finde ich da gar nichts daran komisch, dass für eine Firma geworben wird, die durch Whitepapers und Prüfungen durch unabhängige Sicherheitsdienstleister deutlich gemacht und verifiziert hat, dass ihr Produkt sicher ist.
Ist halt immer eine Frage zwischen Komfort und Sicherheit. Bewegt man sich in Richtung Sicherheit, verliert man Komfort. Bewegt man sich in Richtung Komfort, verliert man Sicherheit.
Privat und auch beruflich verwende ich KeePassXC und speichere „lokal“ am Server. Klar, der Workflow ist etwas umständlich aber man kann z. B. mit Documents Ordner auf Samba-Shares synchronisieren und dann in KeePass Touch öffnen. KeePass Touch arbeitet auch mit Face-ID zusammen. Ist man nicht vor Ort, löst VPN das Problem.
Browser-Erweiterung kann KeePassXC auch, ist halt eine Frage von Komfort und Sicherheit, ob man dem Browser Zugriff auf seine privaten Kennwörter geben möchte. Im Zweifel ist das das Einfallstor.
Vermutlich hat auch LastPass sich durch unabhängige Dienstleister die Sicherheit prüfen lassen. Leider prüfen die eben auch nur das, was eben „bekannte“ potentielle Schwachstellen sein könnten. Ein kreativer Hacker findet möglicherweise morgen einen Weg, auch 1Password zu hacken… irgendwann wird jeder Dienst das erste mal gehackt.
Und ganz ehrlich: um mehrere Geräte synchronisieren zu können, braucht man keine Cloud. Das geht auch lokal und direkt zwischen den Geräten/Computern.
Alles was in eine Cloud steht ist nicht sicher oder glaubt hier jemand das 1 Password keine Hintertür hat einbauen müssen.
Er meinte eher Bitwarden und das dann auf dem eigenen NAS laufen lassen. Läuft bei mir super mit Desktop app und Browsererweiterungen. Für ios und Android gibt es auch Apps.
+1 genauso mache ich es mit Bitwarden in einem Docker Container auf einem RaspberryPi :-) seit 2 Jahren ohne Probleme
Docker sicher? Als Passwortsafe Speicherort würde ich das glaube ich nicht verwenden…
Funktioniert auch lokal mit 1 Password 7.10. mit WLAN Sync….Einmalkauf…
Nicht mehr
Ist Bitwarden auf einem Raspi zu Hause wirklich sicherer vor Angriffen?
Ich glaube grundsätzlich schon, das jemand sich die Mühe macht deine lokale Instanz zu hacken mit allen Unwegbarkeiten dazwischen ist viel unwahrscheinlicher, als dass ein großer Anbieter geknackt wird wo man auf einen Schlag gleich viel Daten abziehen kann. Aber ein gewisses Risiko gibt es leider immer. Am sichersten bleibt nachwievor in den Wald zu ziehen und das Internet zu meiden ;)
Ja wenn die Sicherheits Schlüssel richtig definiert sind und du zum Zugriff evtl noch vpn nimmst dann so ziemlich.
Egal wie sicher docker ist, ins keepass file kommen sie nicht
Mehrere tausend??? Ja ne, is klar… XD
Dito. Und seit ein paar Wochen noch mit einem Yubikey
Ich meine Bitwarden auf NAS mit WireGuard und jetzt noch Yubikey
Ha, ha ha … der nächste Tor!
Eher Bitwarden und Keepass was anderes ist rausgeschmissen Geld.
Ist nur frag der Zeit und die werden auch gehakt. Mal abzuwarten
passwörter selbst im eigenen Hirn merken – einfach perfekt, kostet nix außer anfangs etwas Kreativität.
hat man gelernt, sich selbst Sachen effektiv zu merken, sind selbst 200 accounts kein Problem…
Das wird es dann wohl mit dem Teil gewesen sein.
Der Laden kann doch einpacken, oder? Vertrauensverhältnis nicht mehr vorhanden, wer nimmt dass denn jetzt noch als Passwort-Safe?
Alle, die nicht auf Newsseiten, wie diese hier, unterwegs sind.
Ja. Das stimmt leider. Aber der Laden müsste doch verpflichtet sein, seine Bestandskunden zu informieren.
Die Verpflichtung gibt es. KRITIS
Und alle die die Mail auch lesen und verstehen was da steht.
Immerhin verschweigen sie nichts. Transparente Kommunikation sollte doch im Fokus stehen. Gerade auch dann, wenn das – wofür das Produkt steht – nicht beschädigt wurde.
Tut mir leid für alle betroffenen und ich hoffe, dass da nichts Schlimmeres mehr im Nachgang kommt.
Mich bestärkt das mal wieder in der Haltung, dass jede Information, die im Netz gespeichert wird potenziell gefährdet ist.
Ich kann darüber nur lachen. Warum? Weil mein Unternehmen (>10k Mitarbeiter) vor ein paar Monaten alle dazu zwang diesen PW Manager statt andere zu nutzen. Und jetzt gibt’s ausgerechnet bei diesem dauernd Hackingfälle xD
Und wegen deinem Unternehmen wollen die Hacker jetzt an die Daten dort ;)
Kann durchaus sein. Telko mit Hauotknotenpunkt von Europa ;)
Haben wir eventuell den selben Arbeitgeber? :D muss aber auch sagen gibt schlimmeres, die Passwörter sind wohl weiterhin nicht kompromittiert und immer noch durchs Masterpasswort gesichert. Dafür dass es das Teil kostenlos für die private Nutzung dazu gibt immer noch die komfortabelste Lösung für 0€ (gerade wenn man nicht nur Apple nutzt oder Passwörter ohne Benutzername hat)
Mitarbeiter zwingen?
10 K MA und dann so eine „Lösung“, wie sieht dann bei euch die IT aus?
Was sagt denn euer Sicherheitsbeauftragter zu solchen „Lösungen“?
Ich würde nur etwas Quelloffenes vertrauen wie z. B. Keepass.
Braucht man Zugriff auf die Datei, dann lege ich sie mit Cryptomator zusätzlich verschlüsselt bei pcloud ab.
Ihr als Betrieb habt doch sicherlich ein eigenes VPN für Zugriffe nach Innen, dann kann die Datei immer lokal in der Firma bleiben.
Gerade durch das VPN und abgesicherte firmennetz ist der passwortschutz meist eh zweitrangig. Toll wenn jemand das Passwort hat aber ohne Netzwerkzugriff gar keine Möglichkeit hat dieses zu nutzen.
Bin mit „oneSafe“ seit Jahren sehr zufrieden!
Freunde der Nacht.
Genau aus solchen Gründen setze ich seit Jahren auf KeePass – Lokal gesichert auf meiner NAS.
Mehr oder weniger die gleiche experience nur dafür lokal gehostet und nicht im www. Und bis auf die dazugehörigen iOS Apps kostet das ganze auch nichts.
Diese ganzen Passwort Managern dein komplettes Leben anzuvertrauen war mir über die Zeit dann doch zu viel.
Naja, deine NAS kostet dich zumindest in der Anschaffung und im Betrieb Geld und wenn es Zuhause mal brennt oder bei Diebstahl sind die Daten futsch.
NAS benutzt er wahrscheinlich auch für andere Dinge, Kosten verteilen sich also.
Außerdem sind die Daten ohne NAS nicht futsch, die Datei wird von der App aufs iPhone kopiert und lokal geöffnet.
So ist es!
Wie kannst du sowas sagen ohne seine genaue Vorgehensweise zu kennen? Wenn man das z.B. nicht deswegen angeschafft hat und betreibt kostete es nix extra (außer ein paar Byte Speicherplatz)
Sagen wir mal (wie überall) 100% Sicherheit gibt es nicht. Man kann nur an der Wahrscheinlichkeit etwas „schrauben“.
Für iOS gibt es gratis zB Keepass Touch und Keepassium
Ist es ein gutes Argument dass diese Apps gratis sind? Wie finanzieren die sich?
Wie finanziert sich Linux?
Richtig. Nur kannst du das nicht verallgemeinern. Du musst das NAS selbständig warten, das kostet Zeit und Geld. Aber vor allem Know-how. Und auch hier kannst du gehackt werden, wenn du nicht zeitnah Updates machst und das System pflegst. Und damit ist der Normaluser einfach überfordert und froh, wenn er das extern einkaufen kann.
Ich bin mit 1Password sehr zufrieden seit vielen Jahren und zahle auch gerne für die Entwicklung. So ein Vorfall kann aber denke ich bei allen Anbietern passieren. Ich hoffe, die Systeme sind ordentlich abgesichert.
Exakt. Die Frage ist immer, ob die Firmen das überhaupt bekannt geben würden. Bei 1P, die 500+ Angestellte haben, 3/4 im Marketing (https://1password.com/company/), k.A.
Einem kleinen Team wie Bitwarden traue ich da eher.
Seit Jahren IPIN2 auf allen Geräten.
Da muss nichts in die Cloud und kann Zuhause im W-LAN Synchronisiert werden.
Speichere nie Passwörter in der Cloud. Egal bei wem oder wie
Es gibt Studien/Berichte, das Cloud-Umgebungen wesentlich sicherer sind als On-Premise-Umgebungen.
Nur weil das Speichermedium bei dir ist, ist es noch lange nicht sicher! Wie schützst du dich gegen Ransomware? Backup, Desasterrecovery?
Kenne jetzt Keepass zu wenig, aber wie greift man ausserhalb des LANs zu Hause auf das Keepass zu?
Oder gibt es nur ein Abgleich wenn man im LAN ist?
Ein buchstäblich letzter Pass.
EnPass , beste alternative die bezahlbar ist mit lifetime Account
Einen Lifetime-Account hast vermutlich bei allen. Aber verm meinst du die Lifetime-Lizenz. Nur gilt die für die aktuelle Version 6 und fraglich ist, ob die bei Erscheinen von Version 7 nicht mehr aktualisiert wird. Für mich ist das ein Marketing-Trick …
„Fool me once shame on you, fool me twice shame on me.“
Wer jetzt noch diesem Dienst vertraut, ist selber Schuld.
Naja. Ein Entwickler wurde gehackt (nicht Lastpass) und die Hacker hatten Zugriff auf den Quellcode (an den man auch so rankommt). Gut ist, dass sie es transparent machen. Ich will nicht wissen, wie es. bei den anderen aussieht. Oder anders: Sicher wird es auch auf die anderen Angriffe geben. DIE haben dazu aber bisher nichts veröffentlicht.
Ist das nicht die App, die häufig bei einem 1Password Artikel als sehr Gute Alternative in den Kommentaren erwähnt wird? Ich frag fürn Freund.
Der Name scheint bei denen Programm zu sein.
Wer vertraut seine Passwörter fremden an (App)?????? Unverständlich und sich dann beschwert das gehackt!
Wie verwaltest du deine Passwörter? Bzw. was ist eine nicht-fremde App?
Möchte ich auch gerne wissen…
Nun kommt dann gleich iCloud Passwort ;-)
Wenn man auf „About Us/Company“ des obigen Links geht: lauter glückliche Menschen, ein Hund am Computer, hübsche Frau auf Hängematte etc.
Haha geil, kannst du den Link teilen? Habe es unter deinen Angaben nicht gefunden und will den Hund sehen :D
https://blog.lastpass.com/de/2022/11/hinweis-zu-sicherheitsvorfall/
Ganz nach unten scrollen und dann bei About Us: Company.
https://1password.com/company/ ist auch nicht seriöser (unten das Bild)
I like Bitwarden: https://bitwarden.com/
2x Windows 1x macOS 1x iOS 1x iPadOS + Firefox/Safari/Chrome.
No Problemo.
Nur potthässlich + neue Funktionen im Schneckentempo, Sync funktioniert noch immer nicht automatisch. Beispiel: iPhone + Desktop. Auf dem Desktop was bei BW speichern (egal ob Web oder Desktop), dann bei iOS paar Minuten später versuchen das Passwort auf Seite X einzufügen, was zuvor gespeichert wurde. Geht nicht, da es nicht existiert.
Man muss echt die Bitwarden App manuell erst starten, damit es synchronisiert wird.
Stimme gdgdf voll zu: potthässlich und neue funktionen im schneckentemp.
Ich steige früher oder später auf Minimalist um …
Ist LastPass nicht ein Online Passwort Manager? WIESO benutzt man einen Passwort Manager der nur per Cloud speichert?
Security by obscurity war noch nie ne gute Idee.
Das Problem mit Lastpass sind nicht die Sicherheitsvorfälle:
Hier zeigt sich nur, dass die eigentlich ein recht gutes Team haben, was so was mitbekommt UND transparent kommuniziert. Bei all den anderen Anbietern merken die es wahrscheinlich nicht mal selber. Technisch ist Lastpass so konzipiert, dass solche breaches kein Risiko darstellen sollten (end-to-end encryption und die blobs sind bei Lastpass so abgelegt, dass daraus auch nicht erkennbar ist, welcher blog zu welcher E-Mail-Adresse gehört, weil die auch verschlüsselt sind (mit den Nutzerpasswörtern)).
Was das Problem ist:
Mit dem Kauf von LastPass durch LogMeIn hat sich erst mal nichts geändert. 2020 wurden dann allerdings die Nutzungsbedingungen geändert. Sie wurden einfach per Copy&Paste durch die von LogMeIn ersetzt. Platt ausgedrückt steht da jetzt „sie erteilen uns die vollständigen Nutzungsrechte an allen Daten, die sie bei uns speichern.“ Ich kann mir nicht vorstellen, dass die das wirklich so meinen, aber wenn man so sorglos mit Nutzungsbedingungen umgeht, ist das Vertrauen irgendwie weg.
Dies, plus die Tatsache, dass die usability immer schlechter und fehlerbehafteter wurde (gefühlt mit jedem Update schlechter) hat mich 2020 dazu bewegt meine ganze damalige Firma auf Bitwarden umzustellen (OSS, regelmäßige offene Audits, bessere UX). Privat bin ich auch darauf umgestiegen und habe es nie bereut. Den Server kann man auch selber hosten. Das würde ich aber ehrlich gesagt lieber nicht machen. :-)