LastPass bestätigt, dass Angreifer Quellcode gestohlen haben

LastPass bestätigt, dass Angreifer Quellcode gestohlen haben

Anfang dieser Woche hat LastPass damit begonnen, seine Benutzer über einen „aktuellen Sicherheitsvorfall“ zu informieren, bei dem eine „unbefugte Partei“ ein kompromittiertes Entwicklerkonto verwendet hat, um auf Teile des Quellcodes ihres Passwort-Managers und „einige proprietäre technische Informationen von LastPass“ zuzugreifen. Im ein Brief an seine Benutzererklärt der CEO des Unternehmens, Karim Toubba, dass seine Untersuchung keine Beweise dafür ergeben hat, dass auf Benutzerdaten oder verschlüsselte Passwörter zugegriffen wurde.

Toubba erklärt weiter, dass das Unternehmen „zusätzliche verbesserte Sicherheitsmaßnahmen implementiert“ habe, nachdem es die Sicherheitslücke eingedämmt habe, die es vor zwei Wochen entdeckt habe. Das Unternehmen wollte sich nicht dazu äußern, wie lange der Verstoß gedauert hatte, bevor er entdeckt wurde.

Wie LastPass erklärt, müssen die Benutzer zu diesem Zeitpunkt nichts tun – es gibt keinen Grund für Sie, einen Nachmittag damit zu verbringen, Ihr Master-Passwort zu ändern und eine vollständige Sicherheitsüberprüfung durchzuführen. LastPass hingegen hat wahrscheinlich viel Arbeit, um sicherzustellen, dass es jetzt keine Änderungen vornehmen muss, da eine nicht autorisierte Partei möglicherweise Zugriff auf seinen Quellcode hat.

Um es klar zu sagen: Hacker, die Zugriff auf den Quellcode eines Programms haben, bedeutet nicht sofort, dass sie es sofort pwnen und seine Verteidigung durchbrechen können. Bekanntlich sagt Microsoft, dass es sich aus Sicherheitsgründen nicht darauf verlässt, dass sein Quellcode privat bleibt, und dass es kein Risiko darstellen sollte, dass Leute ihn lesen können (was eine gute Sache ist, weil sein Quellcode Lecks a viel). Und während das für jedes Unternehmen der Fall sein sollte, insbesondere für diejenigen, deren gesamtes Geschäft darin besteht, Ihre Passwörter zu schützen, würde ich wahrscheinlich wollen, dass das Unternehmen über seinen Code brütet, nur um sicherzustellen, dass es keine subtilen Schwachstellen gibt, die es übersehen hat Ich war LastPass-Kunde.

Trotz der Tatsache, dass die Verletzung kein Alarmsignal für Sicherheitsprobleme im Unternehmen zu sein scheint, sieht es für einen Passwort-Manager, der mit seinem Ruf zu kämpfen hat, immer noch nicht gut aus. Es ist nur das Neueste in einer Reihe von Vorfälle für LastPass (die Wikipedia-Seite der Software ist weitgehend umfasst eines Abschnitts mit dem Titel „Sicherheitsprobleme“), und das Unternehmen erntete auch den Zorn vieler Benutzer, weil es seine kostenlose Stufe Anfang 2021 so geändert hatte, dass sie deutlich weniger nützlich war.



Quellenlink