Hacker haben es geschafft, bei der App LastPass auf Kunden-Passworttresore zuzugreifen.
Die Macher des Passwort-Managers LastPass geben zu, dass bei einem Hack Kundendaten kopiert wurden. Problematisch: Darunter sind Email-Adressen und Passwörter – teils unverschlüsselt.
Nun doch Kunden-Daten entwendet
Der Hack fand Anfang Dezember statt. Anfangs wurde davon ausgegangen, dass keine Kundendaten betroffen waren. Dies wurde nun revidiert.
„Bisher haben wir festgestellt, dass der Angreifer, sobald er den Zugriffsschlüssel für den Cloud-Speicher und die Entschlüsselungsschlüssel für die beiden Speichercontainer erlangt hatte, Informationen aus dem Backup kopiert hat, die grundlegende Kundenkontoinformationen und zugehörige Metadaten enthielten, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen.“
Das folgt für Anwender
LastPass erklärt:
„Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält. Diese verschlüsselten Felder sind mit einer 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem eindeutigen Verschlüsselungsschlüssel entschlüsselt werden, der mit Hilfe unserer Zero Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass niemals bekannt und wird von LastPass weder gespeichert noch verwaltet. Die Ver- und Entschlüsselung der Daten wird nur auf dem lokalen LastPass-Client durchgeführt.“
Das ganze Ausmaß des Hacks ist noch nicht bekannt
Aktuell ist noch nicht bekannt, wie viele Kunden betroffen sind. LastPass geht davon aus, dass die meisten Daten nur durch Brute Force entschlüsselt werden können, was bei starken Passwörtern Millionen von Jahren dauern kann.
