LastPass ist ein bekannter und vertrauenswürdiger Name im Bereich der Passwortsicherheit, aber aufgrund seiner Vergangenheit an Verstößen könnten Sie über eine Alternative nachdenken.

Die zentralen Thesen

  • Bei LastPass kam es in der Vergangenheit bereits zu mehreren Datenschutzverstößen, darunter einer im Jahr 2015, bei der Benutzer-E-Mails und Master-Passwörter offengelegt wurden. Die Mehrheit der Benutzer, die zusätzliche Sicherheitsebenen nutzten, war jedoch wahrscheinlich vor der Sicherheitsverletzung sicher.
  • LastPass geriet 2021 in die Kritik, als festgestellt wurde, dass ihre Android-App Tracker von Drittanbietern enthielt, was Bedenken hinsichtlich der Sicherheit aufkommen ließ. LastPass antwortete mit der Aussage, dass die Tracker zur Anwendungstelemetrie verwendet würden und von Benutzern deaktiviert werden könnten.
  • Im Jahr 2022 kam es bei LastPass zu einem erheblichen Verstoß, bei dem Angreifer auf Kundendaten und Benutzer-Tresorinformationen zugegriffen haben. Dieser Verstoß hatte weitere Konsequenzen für LastPass und sein Mutterunternehmen GoTo, darunter gestohlene verschlüsselte Backups und Beweise für einen Zugriff auf den Verschlüsselungsschlüssel.
    instagram viewer
  • Obwohl LastPass im Allgemeinen als sicher gilt, haben die zahlreichen Sicherheitsverletzungen und Sicherheitsvorfälle einige Benutzer dazu veranlasst, nach alternativen Passwort-Managern zu suchen, die nicht kompromittiert wurden.

Viele von uns verwenden Passwort-Manager, um ihre privaten Daten zu schützen, wobei LastPass eine der beliebtesten Optionen überhaupt ist. Aber LastPass hat eine ganze Reihe von Datenschutzverstößen erlitten, wodurch die sensiblen Daten der Kunden gefährdet wurden.

Wie oft wurde LastPass gehackt und ist die Nutzung noch sicher?

1. LastPass 2015-Verstoß

Bildnachweis: Ervins Struhmanis/Flickr

Der erste LastPass-Hack ereignete sich im Juni 2015, sieben Jahre nach der Firmengründung. Durch diesen schwerwiegenden Verstoß wurden die E-Mails und Master-Passwörter von LastPass-Benutzern sowie die Hinweis- oder Erinnerungswörter zum Merken von Master-Passwörtern offengelegt. Der Hack wurde bemerkt, als LastPass verdächtige Netzwerkaktivitäten aufspürte, die bald blockiert wurden. Allerdings war bereits ein gewisser Schaden entstanden.

In einem inzwischen abgelaufener Hinweis für Kunden (verfügbar über das Internetarchiv) informierte LastPass die Benutzer darüber, dass diejenigen, die zusätzliche Sicherheitsebenen wie Hashing und Salting für ihre Passwörter verwendeten, wahrscheinlich vor dem Hack sicher waren. Glücklicherweise nutzt die Mehrheit der LastPass-Benutzer diese Sicherheitsmethoden, sodass nur ein kleiner Teil der Kunden das Risiko hatte, betroffen zu sein.

LastPass gab außerdem an, nicht zu glauben, dass aufgrund des Angriffs auf Benutzerkonten zugegriffen wurde, forderte jedoch dringend dazu auf Benutzer können ihre E-Mail-Adressen überprüfen und jede Woche erneuern oder wiederholt Master-Passwörter verwenden, um den Boost zu erhöhen Sicherheit.

Ein paar Wochen nach dem Hack, LastPass hat einen Blogbeitrag veröffentlicht Es gab an, dass sich die Sicherheit seit dem Hack verbessert habe und dass eine Reihe kleiner und großer Änderungen vorgenommen worden seien, um die Kunden noch besser zu schützen. Zu diesen Änderungen gehörte die Einführung von Hardware-Sicherheitsmodulen (HSMs), die die kryptografische Infrastruktur von LastPass schützen.

2. LastPass 2021-Tracking-Vorfall

Obwohl LastPass im Jahr 2021 nicht gehackt wurde, kam es dennoch zu Problemen, als festgestellt wurde, dass die Android-App Tracker von Drittanbietern enthielt. Im Februar 2021 gab eine Sicherheitsanalyse-App namens Exodus Privacy bekannt, dass sie sieben Tracker in der LastPass-Android-App gefunden hatte, was bei den Nutzern Misstrauen auslöste. Der Sicherheitsforscher Mike Kuketz äußerte sich in einem Kommentar zu der Entdeckung Kuketz IT-Sicherheits-BlogbeitragDarin heißt es: „Es kommt überhaupt nicht in Frage, [Anzeigen und Tracker] in Passwort-Manager-Apps zu integrieren.“

Kuketz listete auch die sieben Tracker auf, die in der LastPass-Android-App gefunden wurden, darunter Tracker von Google Analytics, Segment und AppsFlyer. Die Gewährung des Zugriffs auf Marketing-Analyseplattformen auf diese Weise wurde von Kuketz verurteilt, der schrieb, dass der Ansatz von LastPass „im Hinblick auf die Sicherheit äußerst fragwürdig“ sei.

Kuketz betonte, dass die LastPass-Android-App manuell überprüft werden müsse, um festzustellen, ob die Tracker die Benutzer aktiv überwachten. Kuketz stellte jedoch fest, dass allein das Vorhandensein der Tracker eine schlechte Praxis für eine App ist, bei der die Sicherheit Vorrang haben muss.

Als Reaktion auf diese Kritik LastPass informierte Benutzer dass es Analysetools verwendet. LastPass betonte, dass dies getan wurde, um Einblicke in „Anwendungstelemetrie, Fehler- und Absturzberichtsdaten sowie“ zu erhalten hochrangige Nutzungsstatistiken, um letztendlich die Gesamtleistung, Zuverlässigkeit und Benutzerfreundlichkeit von [the app].“

Es wurde außerdem angegeben, dass das Analyseelement der LastPass-App eine optionale Funktion sei, die Benutzer in ihren erweiterten Einstellungen deaktivieren könnten. Unabhängig davon hinterließ die Präsenz von Trackern in der LastPass-Android-App bei Sicherheitsanalysten und Benutzern einen schlechten Geschmack.

3. Verstöße gegen LastPass 2022

Es dauerte einige Zeit, bis LastPass nach dem ersten Vorfall im Jahr 2015 erneut einem Cyberangriff ausgesetzt war. Doch im Jahr 2022 kam es tatsächlich zu einem weiteren Angriff. Dies war ein besonders schwieriges Jahr für LastPass, da ein erster Hack im August Schockwellen auslöste, die bis ins Jahr 2023 andauern sollten.

Anfang August 2022 wurde LastPass auf einen Verstoß aufmerksam, bei dem ein Hacker den Laptop eines LastPass-Entwicklers manipuliert hatte, um Quellcode zu stehlen und auf die cloudbasierte Entwicklungsplattform des Unternehmens zuzugreifen. Der Hacker umging die Sicherheit der Multifaktor-Authentifizierung im Konto des Ingenieurs, indem er sich erfolgreich als Benutzer authentifizierte. Obwohl dies ein sehr besorgniserregender Vorfall war, erlangte der Hacker keine Kundeninformationen.

Doch ein paar Monate später wurde es noch schlimmer. Im Dezember 2022 gab LastPass bekannt, dass der August-Hack Angreifern Zugang zu sensibleren Bereichen seiner Infrastruktur verschafft hatte, die erstmals im November ausgenutzt wurden. Diesmal, Hacker haben auf LastPass-Kundendaten zugegriffen, einschließlich E-Mail- und IP-Adressen, Telefonnummern und Namen. Darüber hinaus wurden bestimmte Arten von Benutzer-Tresordaten offengelegt, darunter gespeicherte Benutzernamen und Passwörter für Online-Konten.

Unnötig zu sagen, dass es bei LastPass jetzt sehr heiß hergeht und dass die Dinge auch im Jahr 2023 nicht aufhören würden.

Die Nachwirkungen von 2023

Obwohl das Jahr 2023 keine neuen Hacks für LastPass brachte, brachte es immer mehr beunruhigende Informationen über die Exploits von 2022.

Im Januar 2023 veröffentlichte die Muttergesellschaft von LastPass, GoTo, eine Erklärung zu den Folgen der Hacks von 2022. GoTos Aussage erklärte, dass mehrere andere Dienste des Unternehmens, darunter Central, Hamachi, Pro, join.me und RemotelyAnywhere, ebenfalls über ein Cloud-Speichergerät eines Drittanbieters ins Visier von Angreifern gerieten. Von diesem Gerät haben Angreifer verschlüsselte Backups gestohlen. Darüber hinaus gab GoTo bekannt, dass Beweise dafür gefunden wurden, dass auch auf einen Verschlüsselungsschlüssel für einige der gestohlenen Backups zugegriffen wurde.

Im Februar 2023 geriet LastPass erneut in die Schlagzeilen, als bekannt wurde, dass zwischen dem ersten und zweiten Hackerangriff im Jahr 2022 weitere böswillige Aktionen von Angreifern durchgeführt wurden.

Wie im X-Beitrag oben dokumentiert, die Hacker vom November 2022 hat den Heimcomputer eines erfahrenen LastPass-Entwicklers kompromittiert über eine Software-Medienschwachstelle. Nach dem Hacken des Computers installierten Hacker einen Keylogger, der es ihnen ermöglichte, zu sehen, was der Entwickler auf seiner Tastatur tippte.

Dadurch erhielten Angreifer Zugriff auf das Master-Passwort des LastPass-Firmentresors des Entwicklers und konnten so auf den Tresor selbst zugreifen. Was hier schockierend ist, ist, dass nur vier leitende LastPass-Entwickler Zugriff auf den Unternehmenstresor hatten und es den Angreifern dennoch gelang, einen dieser Entwickler erfolgreich anzugreifen.

Hacker nutzten die im Jahr 2022 gestohlenen Benutzeranmeldeinformationen auch, um im Oktober 2023 Kryptowährungen im Wert von 4,4 Millionen US-Dollar zu stehlen. Es wird angenommen, dass die Angreifer bei der zweiten Sicherheitsverletzung im Jahr 2022 auf Seed-Phrasen und Schlüssel für Kryptowährungs-Wallets zugegriffen haben, was es ihnen ermöglicht hat, sich in Wallets zu hacken und Kryptowährungen an die gewünschte Adresse abzuheben.

LastPass hat eine vollständige Liste der Daten, auf die bei den Hacks im Jahr 2022 zugegriffen wurde wenn Sie alles sehen möchten, was aufgrund der Vorfälle von 2022 ans Licht kam.

Ist die Verwendung von LastPass immer noch sicher?

Obwohl LastPass seit 2008 im Einsatz ist, ereigneten sich die meisten Datenschutzverletzungen und Sicherheitsvorfälle in den 2020er Jahren. Angesichts der zahlreichen Sicherheitsprobleme in der Vergangenheit ist es natürlich, dass man bei der Verwendung von LastPass etwas nervös ist. Wie lautet also das Urteil hier? Ist die Verwendung von LastPass sicher oder sollten Sie sich für etwas anderes entscheiden?

Obwohl die Verwendung von LastPass sicherer ist als eine einfache Notizen-App oder eine ähnliche Speicheroption, gibt es heute möglicherweise durchaus bessere Passwort-Manager. Angesichts der vielen Schwachstellen in der Sicherheitsbilanz ist LastPass für viele zum No-Go geworden, da niemand weiß, wann es zu einem weiteren Verstoß kommen wird. Da das Jahr 2022 so viele Probleme für LastPass und seine Benutzer mit sich bringt, ist es keine Überraschung, dass einige Benutzer abgesprungen sind und sich für Passwort-Manager entschieden haben, die noch nicht gehackt wurden.

Dashlane und NordPass sind nur zwei Beispiele für sehr seriöse Passwort-Manager, bei denen noch nie eine Sicherheitslücke aufgetreten ist. Es ist also durchaus möglich, einen Passwort-Manager zu finden, dessen Kundendaten oder Mitarbeiterportale nicht offengelegt wurden Hacker.

Wenn Sie derzeit LastPass nutzen, aber woanders hingehen möchten, schauen Sie sich unseren Leitfaden an Löschen Ihres LastPass-Kontos. Wir haben auch einen praktischen Leitfaden dazu sicherste Passwort-Manager wenn Sie Hilfe bei der Auswahl eines Ersatzes benötigen.

Die Sicherheitsvorfälle machen LastPass jedoch nicht zu einem unsicheren Passwort-Manager. Die App verfügt weiterhin über viele nützliche Funktionen zum Schutz vertraulicher Anmeldeinformationen und ist unabhängig von technischen Kenntnissen einfach zu verwenden.

LastPass ist nicht der König der Passwortverwaltung

Es ist grundsätzlich nichts Falsches daran, LastPass zum Speichern von Passwörtern zu verwenden, da die App im Allgemeinen recht sicher ist. Wenn Sie jedoch sicherstellen möchten, dass Ihre sensiblen Daten so effektiv wie möglich gespeichert werden, sollten Sie die supersicheren Alternativen beachten.