Lastpass: Cyberdiebe stehlen Quellcode des beliebten Passwortmanagers
Lastpass, ein kostenloses Add-on für Internet Explorer, Firefox und Google Chrome, ist ein Passwortmanager und ‑generator, mit dem die Passwörter der Nutzer:innen verschlüsselt in einer Liste gespeichert und auch generiert oder geändert werden können.
Wer damit seine Passwörter verwaltet, kann bei seinen Anmeldevorgängen Zeit sparen, da durch Lastpass die Zugangsdaten beim Öffnen der jeweiligen Internetseiten automatisch ausgefüllt werden.
Kundendaten und Passwörter seien nicht betroffen
Die Kernkompetenz von Lastpass ist also die Onlinesicherheit. Doch Lastpass ist nun selbst Opfer eines Cyberangriffes geworden. Am Donnerstag teilte der Onlinedienst mit, dass sein Quellcode gestohlen worden sei.
Lastpass-CEO Karim Toubba teilte in einem Blogbeitrag auf der Unternehmensseite mit, dass eine „nicht autorisierte Partei“ über ein „kompromittiertes Entwicklerkonto“ Zugang zu Teilen des Entwicklungsbereiches erlangt habe und dabei an Teile des Quellcodes sowie proprietäre technische Informationen gelangt sei.
Toubba schob aber direkt hinterher, dass die Produkte und Dienstleistungen „normal“ funktionieren würden. Es gebe keine Anzeichen dafür, dass der Cyberangriff den „Zugriff auf Kundendaten oder verschlüsselte Kennwortgewölbe“ beinhalte, betonte er.
Master-Passwörter seien sicher
Der Datendiebstahl, der aufgrund von „ungewöhnlichen Aktivitäten“ im Entwicklungsbereich des Lastpass-Netzwerks bemerkt wurde, soll vor zwei Wochen erfolgt sein. Laut der Techniknachrichtenseite The Register nutzen mehr als 25 Millionen Privatpersonen sowie 80.000 Geschäftskund:innen den Passwortmanager.
Grundlage des Passwortmanagers ist ein sogenanntes Master-Passwort, dass jede:r Nutzer:in individuell erstellt. Dieses sei vom Cyberangriff nicht betroffen, betonte Lastpass, da das Unternehmen es nicht speichere und deshalb keine Kenntnis davon habe. Eine branchenübliche Zero-Knowledge-Architektur sorge dafür, dass Lastpass nicht auf die Master-Passwörter seiner Kund:innen zugreifen könne.
Eine Untersuchung des Vorfalls habe zudem ergeben, dass keine persönlichen Daten der Benutzer:innen an die Cyberkriminellen gelangt seien. Das Unternehmen empfahl seinen Kund:innen deshalb, keine weiteren Schritte zu unternehmen, und versprach ihnen, sie weiterhin auf dem Laufenden zu halten.