LastPass war nicht sicher

(Bild: Lastpass)

Der Passwortmanager LastPass beinhaltete eine kritische Sicherheitslücke, die es Angreifern über präparierte Websites erlaubte, den Passwortspeicher des Nutzers auszulesen. Mittlerweile soll die Lücke gestopft worden sein.

Tavis Ormandy von Google Project Zero hat den Passwortmanager LastPass genau untersucht und eine massive Lücke entdeckt, die eine komplette Kompromittierung des Datenspeicher erlaubt -alle Passwörter können im Klartext ausgelesen werden.

Die Nutzer machte Ormandy mit zwei auffälligen Tweets aufmerksam. „Gibt es wirklich Leute, die dieses LastPass-Ding benutzen?“ fragte er in der ersten Nachricht und kündigte an: „Ich habe mir das kurz angesehen und kann eine Reihe von offensichtlich kritischen Problemen sehen. Ich werde so schnell wie möglich einen Bericht senden.“ Mit einem zweiten Tweet bestätigte er den Vollzug: „Vollständiger Bericht an LastPass geschickt, sie arbeiten jetzt daran. Ja, es geht um eine vollständige Kompromittierung aus der Ferne.“

Lies auch: LastPass: Lücke erlaubt Erbeutung des Master-Passworts

Mehr ist derzeit nicht bekannt, was Ungewissheiten für Millionen von potenziell betroffenen Anwendern schafft. Sie wissen nicht, ob Features wie Zwei-Faktor-Authentifizierung oder der Einsatz anderer Sicherheits-Add-ons Nutzer und Daten vor Angriffen schützen könnten. Unklar ist zudem, ob die Infrastruktur von LassPass betroffen ist, mobile Apps, die Browser-Erweiterung oder andere Produkte. Ghacks.net tippt auf die Browser-Erweiterung, da Ormandy sich diese wahrscheinlich wegen ihrer Verfügbarkeit für den Google-Browser Chrome angesehen habe.

Das im letzten Jahr von LogMeIn übernommene LastPass bietet den gleichnamigen Online-Passwortmanager für Privatanwender als kostenlose und als Premium-Variante an. Als Open-Source-Alternative ist KeePass verbreitet, das Passwörter in einer einzigen, sicheren Datenbank verwaltet. KeePass gehört auch zu den Lösungen, die das Projekt EU-Fossa eben einem umfangreichen Sicherheits-Audit unterzieht.

Tavis Ormandy machte sich einen Namen durch laufende Enthüllungen gefährlicher Lücken in gängiger Software. So meldete er etwa kritische Schwachstellen in Produkten von Symantec und Norton, Lecks in Malwarebytes Anti-Malware-Tool sowie Sicherheitslücken in Antivirensoftware von Kaspersky und AVG.

Anfang dieses Jahres entdeckte der Google-Forscher bereits eine kritische Lücke in Trend Micros Passwortmanager. Die Kategorie der Passwortmanager hält er offenbar für besonders prüfungsbedürftig und kündigte an, sich gleich einen weiteren vorzunehmen: „Ja, ich verspreche, mir 1Password anzusehen.“

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de
  1. Die meisten Passwortmanager und Cloud- Anwendungen dürften Backdoors für Ausspähungen haben.
    Die von USA Firmen oder auf USA Server sowieso.
    Und auch die meisten kostenlosen, den ohne Motivation wird Nichts getan.

    Gibt eure Daten NIE raus.
    Eigener Speicherplatz extrem preiswert.
    Gestern konnte ich schnelle 64 GB microSD Cards für nur ca. 21 € bei Saturn erwerben.
    Und auf 64 GB passen lebenslänglich alle eure Daten inklusive gesamten eingescannten Korrespondenz mehrfach drauf. (Videos ausgenommen)

    Das ganze sicher mit guten Passwort verschlüsselt, z.B. in TrueCript Container drin.
    Und gegen möglichen Daten-Crash, regelmäßige Datensicherung, z.B. auf zweite microSD Card.
    Dafür gibt es automatische Programme gratis.

    Sehr gut selbst verschlüsselte TrueCript Container könnt ihr zu Not auch in Cloud ablegen.
    Noch sicherer ist es nacheinander mit mehreren verschiedenen Programmen zu verschlüsseln, sollte einer Backdoors haben.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising