LastPass-CEO Karim Toubba hat einen weiteren Sicherheitsvorfall in seinem Unternehmen eingeräumt. Betroffen ist ein Coud-Speicherdienst eines Drittanbieters, den LastPass gemeinsam mit GoTo nutzt. Dabei wurden nach Angaben des Unternehmens auch einige Daten von Kunden kompromittiert.
Unbefugte sollen demnach Informationen benutzt haben, die beim Einbruch in die LastPass-Systeme im August 2022 erbeutet wurden, um sich Zugang zu dem Cloud-Speicher zu verschaffen. Welche Kundendaten kompromittiert wurden und wie viele Nutzer betroffen sind, ließ Toubba offen. In einem Blogeintrag ist lediglich von Zugriffen auf “bestimmte Elemente der Informationen unserer Kunden” die Rede.
Wie schon bei dem Vorfall in August betonte LastPass, dass für Passwörter von Kunden keine Gefahr bestand. Die Produktionsumbegung sei physisch von allen anderen Systemen getrennt. Außerdem habe LastPass generell keine Kenntnis von Masterpasswörtern für die Tresore seiner Kunden.
Wie schon im August wurde der Sicherheitsanbieter Mandiant mit der Untersuchung des Vorfalls beauftragt. Toubba erklärte zudem, dass auch die Strafverfolgungsbehörden eingeschaltet wurden.
“Wir arbeiten mit Hochdruck daran, den Umfang des Vorfalls zu ermitteln und herauszufinden, auf welche spezifischen Informationen zugegriffen wurde. In der Zwischenzeit können wir bestätigen, dass LastPass-Produkte und -Dienste weiterhin voll funktionsfähig sind. Wie immer empfehlen wir Ihnen, unsere Best Practices zur Einrichtung und Konfiguration von LastPass zu befolgen”, so Toubba weiter.
Der Manager kündigte auch an, die Sicherheit der Systeme durch zusätzliche Maßnahmen, unter anderem zur Überwachung der Infrastruktur, zu stärken. Ziel sei es, weitere Aktivitäten von Bedrohungsakteuren zu verhindern.
Im August hatten Unbekannte eine Entwicklungsumgebung von LastPass gehackt und über einen Zeitraum von vier Tagen Zugriff auf das System zugegriffen. Den Cyberkriminellen fiel dabei Quellcode in die Hände. Zum Umgang des Datenverlusts sowie betroffene Programmteile des Passwort-Managers machte LastPass bisher keine Angaben.
Es geht um die Einwilligung zur Verarbeitung personenbezogener Daten für Werbezwecke. Facebook soll sich weiterhin…
Es scheint Unternehmen zu geben, die in einer Art Zufallsmodus auch Cloud-Technologien für sich erschließen,…
Telehealth Competence Center Analytics und Telekom pilotieren KI-basierte Sepsis-Prävention.
Nutzern stehen ab sofort bis zu 200 Chats pro Tag mit Bing Chat zur Verfügung.…
Elektronische Patientenakte (ePA) soll ab Ende 2024 verbindlich sein / Diskussion um die Sicherheit sensibler…
Im Darknet kaufen und verkaufen Cyberkriminelle gestohlene Daten von Datenlecks und Ransomware-Angriffen.