Datenleck: Dritte hatten Zugriff auf Nutzerdaten bei Lastpass
Bei einem "Sicherheitsvorfall" bei Lastpass sind Nutzerdaten abhandengekommen. Das teilte der CEO von Lastpass, Karim Toubba, in einem Blogeintrag(öffnet im neuen Fenster) mit.
Demnach entdeckte das Unternehmen ungewöhnliche Aktivitäten innerhalb eines Cloud-Speicherdienstes von Drittanbietern. Dieser wird zum Datenaustausch zwischen Lastpass und dem Dienst Goto genutzt, der früher Logmein hieß.
Darüber sollen Dritte Zugriff auf bestimmte Kategorien von Nutzerdaten gehabt haben. Um welche Nutzerdaten es sich handelte und wie viele Nutzer betroffen waren, sagte Lastpass nicht.
Die Passwörter sollen jedoch nicht betroffen sein. "Die Passwörter unserer Nutzer bleiben aufgrund der Zero Knowledge Architektur von Lastpass sicher verschlüsselt," schreibt Toubba weiter. Diese Zero-Knowledge-Architektur scheint jedoch nicht umfassend zu gelten, wie das Datenleck vor Augen führt.
Datenleck soll mit einem weiteren Angriff im August zusammenhängen
Derzeit werde der Vorfall durch die Sicherheitsfirma Mandiant untersucht, teilte Lastpass mit. Der aktuelle Sicherheitsvorfall soll mit einem Hack der Systeme von Lastpass im August dieses Jahres zusammenhängen. Darüber informierte Lastpass erst im September.
Damals hatten Eindringlinge vier Tage lang Zugriff auf die internen Systeme von Lastpass . In diesem Zeitraum will Lastpass die Angreifer entdeckt und den Vorfall eingedämmt haben. Dabei sollen die Angreifer Informationen erlangt haben, mit denen sie den aktuellen Hack durchführen konnten.
Zuvor wurde der Passwortmanager wegen der drastischen Einschränkung seines kostenlosen Angebots und Trackingdiensten in seinen Apps kritisiert.