URLs und Kundendaten im Klartext
LastPass-Hack: Angreifer erbeuteten Namen, Rufnummern und Tresore
Die Anbieter des Passwort-Managers LastPass haben sich in ihrem Hausblog erneut zu dem kürzlich bekanntgewordenem Fremdzugriff auf die eigenen Rechenzentren geäußert und schlüsseln jetzt detailliert auf, welche Kundendaten hier genau in Mitleidenschaft gekommen sein sollen.
Angreifer erbeuteten Kunden-Tresore
Wie viele aktuelle Passwort-Manager bietet auch LastPass eine Cloud-basierte Verwaltung von Passwörtern an, bei der Nutzer einen Verschlüsselten Tresor mit ihren Accounts, Zugangsdaten, Kreditkarteninformationen und Logins auf den Servern des Anbieters sichern und diesen mit ihren Endgeräten abrufen, bearbeiten und synchronisieren können.
Im August war es einem nicht näher bekannten Angreifer gelungen Zugriff auf Teile des LastPass-Quellcodes und weiterer Unternehmensinformationen zu erlangen. Der Angreifer soll diese Informationen anschließend dafür genutzt haben, von Mitarbeitern des Unternehmens Zugangsdaten für die LastPass-Cloud-Speicher zu erlangen.
URLs und Kundendaten im Klartext
Mit den Zugangsdaten sei es dann zu einem umfangreichen Abgriff von Nutzerdaten gekommen zu denen nicht nur Rechnungsinformationen wie E-Mail-Adressen, Klarnamen, Anschriften und Telefonnummern zählten, auch seien Kopien der Kundentresore in den Besitz des Angreifers gelangt. In diesen sind sensible Informationen wie Passwörter und Kreditkartennummern zwar grundsätzlich vollverschlüsselt, allerdings sind Teile der Tresordaten wie etwa die Webadressen der gesicherten Online-Accounts durchaus einsehbar.
Laut LastPass müssen sich Anwender, die sich an die Passwortvorgaben der Anwendung gehalten hätten, keine Sorgen über die Sicherheit der Verschlüsselten Daten machen. Beim Einsatz eines mindestens zwölf Zeichen langen Passworts seien diese weiterhin gut geschützt.
Die Kundeninformationen und URLs jedoch sind nun in fremden Händen – auf eine Entschuldigung dafür verzichtet der Text der LastPass-Anbieter.