Hacker hatten Zugriff auf die Passwortschließfächer von LastPass-Benutzern

a Der Haupthack Es scheint, dass die Auswirkungen von LastPass auf den Passwortverwaltungsgiganten viel schlimmer sind als zunächst angenommen. Bei der Ankündigung des Updates zwei Tage vor Weihnachten gab LastPass-CEO Karim Tuba zu, dass die Angreifer die Tresordaten der Kunden erfolgreich sichern konnten. Mit diesen Daten könnten Angreifer Zugriff auf die gesamte Sammlung von Passwörtern und anderen bei LastPass gespeicherten Daten der Benutzer erhalten, wenn sie eine Möglichkeit finden würden, das Master-Passwort des Benutzers zu erraten.

Um einen sofortigen Anstieg von Herzinfarkten zu verhindern, warnte Toba, dass es „extrem schwierig“ sei, Kunden das Erraten von Master-Passwörtern zu erzwingen, wenn sie die Standardeinstellungen und Best Practices des Unternehmens verwenden. Für diese Benutzer könnte es „Millionen von Jahren“ dauern, bis Angreifer diese Codes mit „öffentlich verfügbarer Technologie zum Knacken von Passwörtern“ knacken, so der CEO. LastPass sagt, es sollte keinen Zugriff auf die Master-Passwörter der Benutzer haben.

Diese beruhigende Beruhigung gilt nicht unbedingt für Benutzer mit schwächeren Master-Passwörtern. In diesen Fällen riet LastPass den Benutzern, die Passwörter für alle von ihnen gespeicherten Websites zu ändern Es kann einen harten, mühsamen Tag bedeuten, an dem Sie hektisch darauf warten müssen, dass die Kontoinformationen zurückgesetzt werden. Obwohl starke Master-Passwörter schwer zu erraten sein können, können selbst die stärksten Passwörter angreifbar sein, wenn sie unsachgemäß verwendet werden. Eine weitere zuvor gehackte Website. keiner Mangel Zuvor geknackte Passwörter, die auf Dark-Web-Märkten gefunden wurden. Betroffene LastPass-Kunden werden möglicherweise auch mit Spam-Phishing-Versuchen überschwemmt, die versuchen, sie dazu zu bringen, unwissentlich ihre Schlüssel zum Königreich zu übergeben.

Zusätzlich zu Passwörtern, sagte Toba, enthalten die gestohlenen Tresordaten „vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und Passwörter, sichere Notizen und Formulardaten“ zusammen mit unverschlüsselten URLs. Fortgeschrittene Angriffe, Edge AnmerkungenDie Informationen, die über die von einem Benutzer besuchten Websites übermittelt werden, können verwendet werden, um überzeugendere Phishing-Kampagnen zu erstellen.

LastPass reagierte nicht sofort auf die Bitte von Gizmodo um einen Kommentar.

Für ein Unternehmen, dessen Hauptdienst darin besteht, Passwörter an einem sicheren Ort zu sammeln und zu schützen, ist dies so schlimm wie es nur geht. LastPass zuerst ein Statement Jüngste Angriffe in einem Blogbeitrag Ende letzten Monats. Damals teilte das Unternehmen unterschwellig mit, dass der Angreifer auf „bestimmte Elemente“ von „Kundeninformationen“ zugreifen konnte, ohne weitere Details preiszugeben. Das Unternehmen sagte weiter, dass Kundenkennwörter von dem Vorfall nicht betroffen seien Technisch gesagt Stimmt, aber wie wir jetzt wissen, erzählt es nur einen Teil der Geschichte.

Was die Sache noch schlimmer macht, scheint dieser neueste Hack gewesen zu sein möglich wurde Mit einem früheren Unfall, der erst vor sechs Monaten passiert ist. In diesem Fall, so das Unternehmen, habe der Angreifer offenbar „Quellcode und technische Informationen“ aus seiner Entwicklungsumgebung gestohlen und damit gezielt einen Mitarbeiter angegriffen, um an seine Zugangsdaten zu gelangen.

Sehen Sie, in einer digitalen Welt, in der Benutzer Dutzende von Anmeldeinformationen verwalten müssen, werden Passwort-Manager zunehmend zu einer Sicherheitsnotwendigkeit. Gleichzeitig macht diese hohe Konzentration an sensiblen Informationen Passwort-Manager-Sites aus Einige der leckersten Lebensmittel da draußen Ziele für schlechte Schauspieler. LastPass Das hätten wir kommen sehen müssen Diese Details hätten den Kunden früher offengelegt werden müssen, wenn die Ergebnisse verfügbar gewesen wären.