Anfang dieser Woche begann LastPass damit, seine Benutzer über einen „aktuellen Sicherheitsvorfall“ zu informieren, bei dem eine „unbefugte Partei“ ein kompromittiertes Entwicklerkonto nutzte, um auf Teile des Quellcodes des Passwort-Managers zuzugreifen, und „bestimmte proprietäre technische Informationen von LastPass“. In einem Brief an die Benutzer erklärt der CEO des Unternehmens, Karim Toubba, dass seine Untersuchung keine Beweise dafür ergeben habe, dass auf Benutzerdaten oder verschlüsselte Passwörter zugegriffen wurde.
Toubba erklärt weiter, dass das Unternehmen „zusätzliche verbesserte Sicherheitsmaßnahmen implementiert“ habe, nachdem es die Sicherheitslücke eingedämmt habe, die es vor zwei Wochen entdeckt habe. Das Unternehmen wollte sich nicht dazu äußern, wie lange der Verstoß gedauert hat, bevor er entdeckt wurde.
Wie LastPass erklärt, müssen die Benutzer an dieser Stelle nichts tun – es gibt keinen Grund, warum Sie einen Nachmittag damit verbringen sollten, Ihr Master-Passwort zu ändern und eine vollständige Sicherheitsüberprüfung durchzuführen. LastPass hingegen hat wahrscheinlich viel Arbeit, um sicherzustellen, dass es jetzt keine Änderungen vornehmen muss, da eine nicht autorisierte Partei Zugriff auf seinen Quellcode erhalten kann.
Um es klar zu sagen: Hacker, die Zugriff auf den Quellcode eines Programms haben, bedeutet nicht sofort, dass sie es sofort hacken und seine Verteidigung brechen können. Bekanntlich sagt Microsoft, dass es sich nicht darauf verlässt, dass sein Quellcode aus Sicherheitsgründen privat bleibt, und sagt, dass Leute, die ihn lesen können, kein Risiko darstellen sollten (was eine gute Sache ist, weil sein Quellcode flieht a Handlung). Und während das für jedes Unternehmen der Fall sein sollte, insbesondere für diejenigen, deren gesamtes Geschäft darin besteht, Ihre Passwörter zu schützen, würde ich wahrscheinlich wollen, dass das Unternehmen sich seinen Code ansieht, nur um sicherzustellen, dass es keine subtilen Schwachstellen gibt, die sie übersehen hat, wenn ich ein LastPass-Kunde wäre .
Trotz der Tatsache, dass die Verletzung kein Warnsignal für Sicherheitsprobleme im Unternehmen zu sein scheint, sieht es für einen Passwort-Manager, der mit seinem Ruf zu kämpfen hat, immer noch nicht gut aus. Dies ist nur der jüngste in einer Reihe von Vorfällen für LastPass (die Wikipedia-Seite der Software besteht größtenteils aus einem Abschnitt mit dem Titel „Sicherheitsprobleme“), und das Unternehmen hat auch den Zorn vieler Benutzer auf sich gezogen, weil es sein kostenloses Kontingent geändert hat Anfang 2021 deutlich weniger sinnvoll.
Previously published on www.theverge.com