LastPass soll bei Bekanntgabe des Sicherheitslecks gelogen haben

LastPass wird jetzt beschuldigt, bei der Bekanntgabe der jüngsten Sicherheitsverletzungen wissentlich gelogen zu haben. Das geht aus Medienberichten hervor. Der Passwort-Verwalter hatte dabei erst nach mehreren Wochen über das Ausmaß informiert.
Passwortverwaltung, passwortmanager, lastpass, Password Manager, Passwort Manager, Last Pass
Der Angriff auf den Passwort-Manager LastPass scheint weitreichender zu sein, als bisher angenommen - zudem soll LastPass deutlich früher mehr gewusst haben, als man das so bisher nach außen kommuniziert hat.

Die Firma gab kurz vor Weihnachten bekannt, dass Hacker an sensible, verschlüsselte Kundendaten und an ganze Datentresore gelangen konnten. Schon im August wurden die Quellcodes, die für einen großangelegten Angriff Anfang Dezember verwendet wurden, gestohlen. Richtiges Passwort wählen - in nicht so ernstGute Passwortwahl: Manchmal nicht so leicht Die daraufhin aktualisierte Meldung von LastPass bezüglich des Hacks wird jetzt von Sicherheitsexperten in der Luft zerrissen (via Beta News). Einer von ihnen prangerte sie als "voller Auslassungen, Halbwahrheiten und offener Lügen" an:

Der Sicherheitsforscher Wladimir Palant wirf dem Unternehmen vor, mehr darauf bedacht zu sein, sein Gesicht zu wahren, als transparent über den Vorfall zu informieren. Zudem kritisiert Palant, dass LastPass die aktualisierte Information nicht als das kennzeichnet was sie ist, nämlich eine gesetzliche Vorschrift. LastPass hingegen verweist darauf, dass man für "Transparenz sorgen möchte".

Palant kritisiert wieder:

"Man beachte, dass LastPass zugibt, Website-URLs nicht zu verschlüsseln, sie aber nicht unter ‚sensible Felder‘ einordnet. Aber Website-URLs sind sehr wohl sensible Daten. Bedrohungsakteure würden gerne wissen, worauf Sie Zugriff haben. Dann könnten sie zielgerichtete Phishing-E-Mails nur für die Personen erstellen, die ihre Mühe wert sind. Dabei spielt es keine Rolle, dass einige dieser URLs mit Parametern versehen sind. LastPass zum Beispiel speichert manchmal URLs zum Zurücksetzen von Passwörtern. Und gelegentlich sind sie noch gültig."

Er weist die Behauptung zurück, dass die Daten der Nutzer sicher sind, weil es schwierig sei, Master-Passwörter zu knacken. LastPass wälzt damit aber die Verantwortung auf die Nutzer ab, obwohl das Unternehmen selbst hätte mehr für die Sicherheit sorgen können.

LastPass steht zudem in der Kritik, da das Unternehmen seinen Nutzern mitteilte, dass "es keine empfohlenen Maßnahmen, die Sie zu diesem Zeitpunkt ergreifen müssen" gibt. Das ist nicht nur in Palants Augen grob fahrlässig. Es gibt sehr wohl Handlungsempfehlungen, und zwar nicht nur für Personen mit zu einfach zu erratenden Master-Passwörtern. Jeder, der ein wertvolles Ziel sein könnte (Aktivisten, Dissidenten, Firmenadministratoren usw.), sollte dringend in Erwägung ziehen, jetzt alle Passwörter zu ändern.

Palant steht mit seiner Kritik an LastPass bei Weitem nicht alleine da. Auf Mastodon kritisiert der Sicherheitsforscher Jeremi Gosney die Sicherheitsbehauptungen des Unternehmens mit den Worten:

"LastPass Behauptungen von ‚null Wissen‘ ist eine unverfrorene Lüge. Sie haben so viel Wissen, wie ein Passwort-Manager überhaupt nur haben kann. Jedes Mal, wenn Sie sich bei einer Website anmelden, wird ein Ereignis generiert und an LastPass gesendet, mit dem einzigen Zweck, zu verfolgen, bei welchen Websites Sie sich anmelden. Sie können die Telemetrie deaktivieren, aber das bringt nichts - sie meldet sich immer noch jedes Mal bei LastPass, wenn Sie sich irgendwo authentifizieren. Außerdem ist fast alles in Ihrem LastPass-Tresor unverschlüsselt. Ich glaube, die meisten Leute stellen sich ihren Tresor als eine Art verschlüsselte Datenbank vor, in der die gesamte Datei geschützt ist, aber nein - bei LastPass ist Ihr Tresor eine Klartextdatei und nur ein paar ausgewählte Felder sind verschlüsselt."

Download 1Password: Umfassender Passwortmanager Download KeePass - Passwort-Sammlungs-Tool Infografik: Ein sicheres Passwort wählenEin sicheres Passwort wählen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!