Die LastPass-Sicherheitslücke: Wie Sie sich schützen können
Was Sie über die Sicherheitslücke bei LastPass wissen müssen und was zu tun ist.
Wenn Sie LastPass nutzen, wie viele von uns in der Community, suchen Sie vielleicht schon nach einer alternativen Lösung für die Passwortverwaltung. Nach einer massiven Sicherheitslücke bei LastPass, die das Unternehmen nicht rechtzeitig bekannt gegeben hat und damit möglicherweise Ihre Daten gefährdet hat, sollten Sie einen Wechsel zu Bitwarden oder 1Password in Betracht ziehen. Noch besser ist es, wenn Sie, wenn möglich, Passkeys verwenden – diese machen die passwortlose Anmeldungen zur ultimativen Sicherheitslösung.
Wenn Sie für die Sicherheit der Daten anderer verantwortlich sind oder eine Administratorfunktion ausüben, können Sie aus den Fehlern von LastPass lernen – vor allem wissen Sie, was Sie nicht tun sollten. Werfen wir einen Blick darauf, was passiert ist, was hätte passieren sollen und wie Sie Ihre Online-Konten proaktiv schützen sollten.
Das Loch immer tiefer zu graben, bringt sie nicht in Sicherheit
Im August 2022 gab der CEO von LastPass, Karim Toubba, bekannt, dass es ein schwerwiegendes und andauerndes Sicherheitsleck in der Passwortverwaltungsplattform gab. Es wurde berichtet, dass eine unbefugte Partei Zugang zur Entwicklungsumgebung von LastPass erlangte und Quellcodes und proprietäre technische Informationen stahl. Zunächst versicherte Toubba den Kunden, dass ihre Master-Passwörter, Daten und persönlichen Informationen sicher seien, jedoch stellte sich später heraus, dass dies nicht der Fall war und die kritischen Kontoinformationen von Eindringlingen beeinträchtigt wurden.
LastPass versicherte seinen Kunden unmissverständlich, dass ihre Master-Passwörter, Daten und persönlichen Informationen sicher seien. Wir glaubten, dass unsere wichtigen Kontoinformationen absolut sicher seien. Leider war dies überhaupt nicht der Fall.
Es ist wichtig, dass die Benutzer ihre Konten überprüfen und gegebenenfalls ihre Passwörter ändern. Es ist auch wichtig, proaktiv die Sicherheit der eigenen Online-Konten zu überwachen und gegebenenfalls die Verwendung von Passwort-Manager zu überdenken.
Was ist wirklich geschen
Im November 2022 hat LastPass weitere Details über eine Sicherheitslücke bekannt gegeben, die bereits im August desselben Jahres aufgetreten ist. Es stellte sich heraus, dass der Angreifer nicht nur Zugang zur Entwicklungsumgebung von LastPass erlangt hatte, sondern auch Kundendaten im Rahmen eines zweiten Einbruchs gestohlen hatten. Dieser zweite Angriff war durch die Informationen, die bei dem ersten Angriff erlangt wurden, ermöglicht worden. Der Angreifer hatte es zunächst auf einen LastPass-Entwickler und dann auf einen weiteren abgesehen, um tiefer in die Systeme von LastPass einzudringen, einschliesslich des Cloud-Speichers der LastPass-Muttergesellschaft GoTo. Es ist beunruhigend, dass GoTo versucht hat, ihre eigene Offenlegung vor Suchmaschinen zu verbergen. Es ist wichtig, dass die Benutzer ihre Konten überprüfen und gegebenenfalls ihre Passwörter ändern, um ihre Daten zu schützen.
Kurz vor Weihnachten gab der CEO von LastPass, Karim Toubba, bekannt, dass es bei der im August bekannt gewordenen Sicherheitslücke zu einem erheblichen Datenverlust gekommen ist. Der Angreifer hatte es geschafft, einen Backup-Snapshot der verschlüsselten Passwortdaten der LastPass-Kunden zu stehlen. Toubba gab zu, dass dieser Backup-Snapshot von jedem mit Brute-Force-Methoden entschlüsselt werden kann, was bedeutet, dass die Daten der LastPass-Kunden, wie Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, URLs, Notizen, Formulardaten und Rechnungsdaten, in Gefahr sind.
Dies ist eine ernste Angelegenheit und es ist wichtig, dass die betroffenen Kunden ihre Konten überprüfen und ihre Passwörter ändern, um sich vor möglichen Datenmissbrauch zu schützen.
Es ist an der Zeit Schluss zu machen
Wir empfehlen, Ihr LastPass-Konto zu schliessen und stattdessen auf einen anderen Dienst wie Bitwarden oder 1Password zu wechseln. Beide Dienste bieten Möglichkeiten, die Daten aus dem LastPass-Konto zu importieren. 1Password ist eine robustere Alternative, die von vielen Sicherheitsprofis genutzt wird und ein System zum Teilen von Zugangsdaten für Teams anbietet. Bitwarden ist ein Open-Source-Tool, dessen Quellcode auf Github zur Überprüfung durch Sicherheitsspezialisten zur Verfügung steht. Der bezahlte Account kostet nur 10 $ im Jahr und man hat die Möglichkeit seine Vault selbst zu hosten. Beide Tools bieten eine gute Alternative zu LastPass.
