LastPass meldet Hackerangriff
Unbekannte erhalten Zugriff auf die Entwicklungsumgebung. Sie erbeuten Quellcode des Passwort-Managers LastPass. Kundendaten werden bei dem Vorfall laut LastPass nicht kompromittiert.
LastPass hat einen Sicherheitsvorfall eingeräumt. Das Unternehmen entdeckte nach eigenen Angaben bereits vor zwei Wochen “ungewöhnliche Aktivitäten” in seiner Entwicklungsumgebung. Dabei fiel den unbekannten Angreifern offenbar Quellcode des Passwort-Managers in die Hände. LastPass betont indes, das keine Kundendaten kompromittiert wurden.
“Wir haben festgestellt, dass eine unbefugte Partei über ein einziges kompromittiertes Entwicklerkonto Zugang zu Teilen der LastPass-Entwicklungsumgebung erlangt und Teile des Quellcodes sowie einige geschützte technische Informationen von LastPass entwendet hat. Unsere Produkte und Dienstleistungen funktionieren normal”, heißt es einem offenen Brief an die LastPass-Kunden.
Als Reaktion auf den Einbruch seien Maßnahmen zu dessen Eindämmung getroffen worden, so LastPass weiter. Auch ein führender Anbieter für Cybersicherheit und Forensik sei an der Untersuchung beteiligt. Inzwischen gebe es keine Hinweise auf weitere nicht autorisierte Aktivitäten.
In einer FAQ betont LastPass zudem, dass weder Master-Passwörter noch die Passwortspeicher von Kunden betroffen seien. Der Einbruch betreffe einerseits nur die Entwicklerumgebung – andererseits seien jegliche Passwörter von Kunden generell nicht auf Servern von LastPass hinterlegt. Auch sonst gebe es keine Hinweise darauf, dass Kundendaten kompromittiert worden seien.
Zum Umfang des gestohlenen Quellcodes machte LastPass keine Angaben. Es ist auch nicht bekannt, welche Programmteile des Passwort-Managers betroffen sind. Laut LastPass sind auf Seiten von Kunden jedoch keine Maßnahmen erforderlich.