Hacker haben den LastPass-Quellcode bei einer Datenpanne gestohlen

Heute bestätigte LastPass eine Datenschutzverletzung in einem Blogbeitrag , in dem der Vorfall gegenüber seinen Kunden beschrieben wird, die sich auf die Produkte des Unternehmens für die Online-Sicherheit verlassen. Das Unternehmen betonte jedoch, dass bei der Verletzung keine Kundendaten gestohlen wurden und die Benutzer nichts tun müssen, um ihre Daten zu sichern.

In einem Beitrag von CEO Karim Toubba erklärte LastPass Folgendes:

„Vor zwei Wochen haben wir einige ungewöhnliche Aktivitäten in Teilen der LastPass-Entwicklungsumgebung festgestellt. Nachdem wir eine sofortige Untersuchung eingeleitet haben, haben wir keine Beweise dafür gefunden, dass dieser Vorfall einen Zugriff auf Kundendaten oder verschlüsselte Passwort-Tresore beinhaltete.“

Die Verletzung erfolgte über das Konto eines kompromittierten Entwicklers, und die nicht autorisierte Partei machte sich mit Teilen des Quellcodes des Unternehmens und proprietären technischen Informationen von LastPass davon.

Wir haben kürzlich ungewöhnliche Aktivitäten in Teilen der LastPass-Entwicklungsumgebung festgestellt und eine Untersuchung eingeleitet und Eindämmungsmaßnahmen ergriffen. Wir haben keine Beweise dafür, dass dies einen Zugriff auf Kundendaten beinhaltete. Weitere Informationen: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC

– LastPass (@LastPass) 25. August 2022

Toubba betonte, dass Benutzerinformationen sicher seien und dass die unbefugte Partei keine Passwörter kompromittiert oder auf Benutzertresore zugegriffen habe.

Obwohl es beruhigend ist zu wissen, dass zu diesem Zeitpunkt keine Daten gestohlen wurden, könnten der gestohlene Quellcode und die proprietären Informationen ein erhebliches Problem darstellen und zu späteren Angriffsversuchen beitragen. LastPass scheint sich dieser Möglichkeit bewusst zu sein, wie Toubba später hinzufügt, dass das Unternehmen eine „führende Cybersicherheits- und Forensikfirma“ engagiert hat.

Dies ist das zweite Datenproblem, das LastPass im letzten Jahr hatte. Im Dezember wurden einige LastPass-Benutzer einem „Credential-Stuffing-Angriff“ von Hackern ausgesetzt, die versuchten, auf persönliche Tresore zuzugreifen. Nach Angaben des Unternehmens wurden bei dem Angriff keine Konten kompromittiert.

LastPass sagt, dass es Kunden auf dem Laufenden halten wird, wenn das Unternehmen mehr darüber erfährt, was passiert ist.

Der Einbruch vor einigen Wochen ereignete sich in der Entwicklungsumgebung, so dass keine Passwörter von Verbrauchern gefährdet waren. Benutzerpasswörter werden in verschlüsselten Tresoren versteckt, auf die nur mit dem Master-Passwort des Benutzers zugegriffen werden kann. LastPass gilt weithin als einer der besten Passwort-Manager überhaupt.