Passwortmanager LastPass gehackt - Nutzer sollten Masterpasswort ändern

Hacker hatten Zugriff auf die Server von LastPass - sollen jedoch keine Kundendaten gestohlen haben.

Wie LastPass in einer wichtigen Meldung bekanntgibt, hatten Hacker schon letzte Woche Freitag kurzfristig Zugriff aus das Netzwerk des Dienstes. Das Team entdeckte und blockierte »verdächtige Aktivitäten« im Netzwerk. Die anschließenden Untersuchungen haben laut LastPass zwar ergeben, dass es keinen Hinweis darauf gibt, dass die verschlüsselten Nutzerdaten kopiert wurden oder es einen Zugriff auf die Konten der Nutzer gab. Allerdings konnten die Angreifer wohl die E-Mail-Adressen, die Erinnerungshinweise für Passwörter, Hashes und andere Daten einsehen.

Die Verschlüsselung, die Lastpass serverseitig und im Client beim Nutzer einsetzt, soll aber so stark sein, dass es kaum möglich sein soll, die gestohlenen Daten zu verwerten. Trotzdem sollten Nutzer ihr Masterpasswort für den Dienst ändern, außerdem müssen Anmeldungen bei LastPass mit bisher noch nicht verwendeten Geräten nun per E-Mail bestätigt werden. Auch so soll ein Ausnutzen der gestohlenen Daten verhindert werden. Sollte das bei LastPass eingesetzte Masterpasswort auch anderweitig verwendet worden sein, sollten die Nutzer es auch bei diesen andern Diensten ändern.

Die im Passwort-Manager selbst gespeicherten Daten sind jedoch laut den Angaben sicher, da keine Nutzerdaten gestohlen wurden. In den Kommentaren zu dem Blogbeitrag von Lastpass sind einige Nutzer etwas verärgert darüber, dass sie teilweise von anderen Webseiten von dem Angriff auf Lastpass erfahren haben und nicht von Lastpass selbst. Das Unternehmen hat laut eigenen Angaben auch E-Mails an die Nutzer des Dienstes verschickt, die allerdings wohl nicht überall schon angekommen sind. Trotzdem hat sich LastPass einige Tage Zeit gelassen, wenn der Angriff schon am Freitag bemerkt wurde.

Quelle: LastPass