Forbes: Neuer LastPass-Hack bestätigt – Folgendes wissen wir bisher
Am Mittwoch, dem 30. November, bestätigte Karim Toubba, CEO von LastPass, dass sich eine unbefugte Partei Zugang zu „bestimmten Elementen unserer Kundendaten“ innerhalb eines Cloud-Speicherdienstes eines Drittanbieters verschafft hatte. Die Datenschutzverletzung wurde laut Toubba durch Informationen von ermöglicht ein früherer Hacking-Vorfall im August dieses Jahr. Damals sagte Toubba, dass auf Teile des Quellcodes und einige proprietäre technische Informationen von LastPass zugegriffen worden sei. Es ist jedoch nicht klar, welche spezifischen Informationen es dem Angreifer ermöglichten, sich bei der letzten Verletzung Zugriff auf den Cloud-Speicherdienst zu verschaffen.
„Angesichts der enormen Menge an Passwörtern, die es weltweit schützt, bleibt LastPass ein großes Ziel“, sagt Yoav Iellin, Senior Researcher bei Silverfort, sagt. „Das Unternehmen hat zugegeben, dass der Bedrohungsakteur mithilfe von Informationen, die bei der vorherigen Kompromittierung erlangt wurden, Zugang erhalten hat. Was genau diese Informationen sind, bleibt unklar, aber in der Regel ist es nach einem Verstoß für das Unternehmen eine bewährte Vorgehensweise, neue Zugriffsschlüssel zu generieren und andere kompromittierte Anmeldeinformationen zu ersetzen. Dadurch wird sichergestellt, dass Dinge wie Cloud-Speicher und Backup-Zugriffsschlüssel nicht wiederverwendet werden können.“
