LastPass soll bei Bekanntgabe des Sicherheitslecks gelogen haben
Die Firma gab kurz vor Weihnachten bekannt, dass Hacker an sensible, verschlüsselte Kundendaten und an ganze Datentresore gelangen konnten. Schon im August wurden die Quellcodes, die für einen großangelegten Angriff Anfang Dezember verwendet wurden, gestohlen. Gute Passwortwahl: Manchmal nicht so leicht Die daraufhin aktualisierte Meldung von LastPass bezüglich des Hacks wird jetzt von Sicherheitsexperten in der Luft zerrissen (via Beta News). Einer von ihnen prangerte sie als "voller Auslassungen, Halbwahrheiten und offener Lügen" an:
Der Sicherheitsforscher Wladimir Palant wirf dem Unternehmen vor, mehr darauf bedacht zu sein, sein Gesicht zu wahren, als transparent über den Vorfall zu informieren. Zudem kritisiert Palant, dass LastPass die aktualisierte Information nicht als das kennzeichnet was sie ist, nämlich eine gesetzliche Vorschrift. LastPass hingegen verweist darauf, dass man für "Transparenz sorgen möchte".
Palant kritisiert wieder:
"Man beachte, dass LastPass zugibt, Website-URLs nicht zu verschlüsseln, sie aber nicht unter ‚sensible Felder‘ einordnet. Aber Website-URLs sind sehr wohl sensible Daten. Bedrohungsakteure würden gerne wissen, worauf Sie Zugriff haben. Dann könnten sie zielgerichtete Phishing-E-Mails nur für die Personen erstellen, die ihre Mühe wert sind. Dabei spielt es keine Rolle, dass einige dieser URLs mit Parametern versehen sind. LastPass zum Beispiel speichert manchmal URLs zum Zurücksetzen von Passwörtern. Und gelegentlich sind sie noch gültig."Er weist die Behauptung zurück, dass die Daten der Nutzer sicher sind, weil es schwierig sei, Master-Passwörter zu knacken. LastPass wälzt damit aber die Verantwortung auf die Nutzer ab, obwohl das Unternehmen selbst hätte mehr für die Sicherheit sorgen können.
LastPass steht zudem in der Kritik, da das Unternehmen seinen Nutzern mitteilte, dass "es keine empfohlenen Maßnahmen, die Sie zu diesem Zeitpunkt ergreifen müssen" gibt. Das ist nicht nur in Palants Augen grob fahrlässig. Es gibt sehr wohl Handlungsempfehlungen, und zwar nicht nur für Personen mit zu einfach zu erratenden Master-Passwörtern. Jeder, der ein wertvolles Ziel sein könnte (Aktivisten, Dissidenten, Firmenadministratoren usw.), sollte dringend in Erwägung ziehen, jetzt alle Passwörter zu ändern.
Palant steht mit seiner Kritik an LastPass bei Weitem nicht alleine da. Auf Mastodon kritisiert der Sicherheitsforscher Jeremi Gosney die Sicherheitsbehauptungen des Unternehmens mit den Worten:
"LastPass Behauptungen von ‚null Wissen‘ ist eine unverfrorene Lüge. Sie haben so viel Wissen, wie ein Passwort-Manager überhaupt nur haben kann. Jedes Mal, wenn Sie sich bei einer Website anmelden, wird ein Ereignis generiert und an LastPass gesendet, mit dem einzigen Zweck, zu verfolgen, bei welchen Websites Sie sich anmelden. Sie können die Telemetrie deaktivieren, aber das bringt nichts - sie meldet sich immer noch jedes Mal bei LastPass, wenn Sie sich irgendwo authentifizieren. Außerdem ist fast alles in Ihrem LastPass-Tresor unverschlüsselt. Ich glaube, die meisten Leute stellen sich ihren Tresor als eine Art verschlüsselte Datenbank vor, in der die gesamte Datei geschützt ist, aber nein - bei LastPass ist Ihr Tresor eine Klartextdatei und nur ein paar ausgewählte Felder sind verschlüsselt."
Download 1Password: Umfassender Passwortmanager Download KeePass - Passwort-Sammlungs-Tool Infografik: Ein sicheres Passwort wählen
Thema:
Neueste Downloads
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB Sticks
Original Amazon-Preis
39,99 €
Blitzangebot-Preis
31,99 €
Ersparnis zu Amazon 20% oder 8 €
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen