Lastpass: Angreifer hatten vier Tage Zugriff – keine Gefahr für Kundendaten

Bei dem Einbruch in die Server des Passwortmanager-Anbieters wurden nach Angaben des Betreibers weder Passwörter kompromittiert noch Userdaten eingesehen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 43 Beiträge

(Bild: Shutterstock.com)

Von
  • Lutz Labs

Im August gab es nach Angaben von Lastpass, einem Anbieter eines Passwortmanagers, einen Einbruch in deren Serversysteme. Die Angreifer sollen Zugang auf das interne Entwicklungssystem gehabt und von dort technische Informationen sowie Quellcode kopiert haben. Lastpass mutmaßte, dass die Angreifer weder Passwörter kopiert noch überhaupt Zugang zu Nutzerdaten gehabt haben, wollte dies jedoch noch weiter untersuchen.

In einem Update zum ersten Blogeintrag gab Lastpass-CEO Karim Toubba nun bekannt, dass die Untersuchungen abgeschlossen seien. Der oder die Angreifer hätten über insgesamt vier Tage Zugriff auf die Systeme gehabt, ein späterer Zugriff sei auszuschließen. Der Angriff erfolgte über einen kompromittierten Entwickler-Account. Das Design der Lastpass-Server soll jedoch einen Zugriff auf die Nutzerdaten verhindert haben, die Passwörter seien zudem verschlüsselt gespeichert.

Lastpass hat nach Angaben von Toubba auch den Quellcode untersucht und keine Hinweise auf das Einschleusen bösartigen Codes gefunden.

Mehr von c't Magazin Mehr von c't Magazin

(ll)