LastPass, ein Passwortverwaltungsdienst, gab am Donnerstag bekannt, dass Hacker verschlüsselte Kopien von Kundenpasswörtern und anderen sensiblen Daten wie Rechnungsadressen, Telefonnummern und IP-Adressen gestohlen haben. Die Ankündigung ist das neueste Update von einem Verstoß, der im August aufgetreten ist. Zu diesem Zeitpunkt gab das Unternehmen an, keine Beweise dafür gesehen zu haben, dass die Hacker Zugriff auf Kundendaten oder verschlüsselte Passworttresore hatten.
In der Erklärung des Unternehmens vom Donnerstag heißt es jedoch, dass Quellcode und technische Informationen, die im Rahmen dieses Hacks gestohlen wurden, verwendet wurden, um einen anderen Mitarbeiter anzugreifen. Die Hacker waren dann in der Lage, Anmeldeinformationen und Schlüssel zu erhalten, um auf Daten zuzugreifen und diese zu entschlüsseln, die auf einem Cloud-Speicherplatz eines Drittanbieters gespeichert sind.
Sie waren in der Lage, Dinge wie grundlegende Kundenkontoinformationen zu kopieren, darunter E-Mail-Adressen und die IP-Adressen, von denen aus Kunden auf LastPass zugegriffen haben, und „vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten“.
Passwort-Manager sind eine Möglichkeit für Kunden, Benutzernamen und Passwörter an einem Ort zu speichern, auf die über ein vom Kunden erstelltes Master-Passwort zugegriffen werden kann. Das Master-Passwort ist LastPass weder bekannt noch wird es vom Unternehmen gespeichert oder gepflegt, heißt es in seiner Erklärung.
Die anderen verschlüsselten Daten können nur „mit einem eindeutigen Verschlüsselungsschlüssel, der aus dem Master-Passwort jedes Benutzers abgeleitet wird“, entschlüsselt werden, sagte das Unternehmen.
Nichtsdestotrotz warnte LastPass Kunden davor, dass sie Ziel von Social Engineering, Phishing-Versuchen oder anderen Methoden werden könnten.
„Der Bedrohungsakteur kann versuchen, mit roher Gewalt Ihr Master-Passwort zu erraten und die Kopien der Tresordaten zu entschlüsseln, die er genommen hat“, sagte das Unternehmen in einer Erklärung. „Aufgrund der Hashing- und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden verwenden, wäre es äußerst schwierig, zu versuchen, Master-Passwörter mit Brute-Force-Rate für diejenigen Kunden zu erraten, die sich an unsere Best Practices für Passwörter halten.“
Für diejenigen, die den Passwortrichtlinien von LastPass folgen, „würde es Millionen von Jahren dauern, Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“, sagte das Unternehmen.
Ein Vertreter von LastPass hat nicht auf Nachrichten mit der Bitte um einen Kommentar geantwortet.
Das Unternehmen sagte, es habe die Cybersicherheitsfirma Mandiant beauftragt, den Verstoß zu untersuchen. Es sagte auch, dass es seine gesamte Entwicklungsumgebung von Grund auf neu aufbaut, ein Hinweis darauf, dass Hacker die sensiblen Systeme des Unternehmens gründlich infiltriert haben.
LastPass sagte, dass seine Ermittlungen noch andauern und dass es die Strafverfolgungsbehörden und „relevante Aufsichtsbehörden“ benachrichtigt habe.
© 2022 Bloomberg-LP
source – www.gadgets360.com
