Also, wir haben gute und schlechte Nachrichten. Die gute Nachricht ist, dass der Hacking-Versuch gegen LastPass von diesem August nicht dazu führte, dass Benutzerdaten gestohlen wurden. Yay! Allerdings ermöglichte es Hackern, Know-how zu stehlen, was es ihnen ermöglichte, einen LastPass-Mitarbeiter ins Visier zu nehmen, wodurch sie – Gut — Benutzerdaten gestohlen. Buh!Jetzt müssen wir LastPass dafür loben, dass es gemäß seinen eigenen Versprechen transparent bleibt und Teilen Sie die Geschichte über einen Blogbeitrag. Es ist zwar einfach, hier einen Jab zu machen, aber wir sind uns auch sicher, dass die Situation auch für sie schwierig ist.
Die Hacker erhielten zwar keine Live-Daten – wie etwa aktuelle Informationen, die von LastPass-Servern in Echtzeit gespeichert und verwendet werden –, aber sie bekamen Backups in die Hände. Da die meisten Menschen nicht daran gewöhnt sind, ihre Passwörter willkürlich zu ändern, werden diese Backups in den meisten Fällen wahrscheinlich vielleicht relevante Informationen enthalten.
Hier ist eine Liste der Arten von Informationen, deren Abruf bestätigt wurde:
- Firmen- und Benutzernamen
- Rechnungsadressen
- E-Mails
- Handynummern
- IP-Adressen
Es genügt zu sagen, dass der böswillige Dritte in einigen Fällen ein vollständiges Paket von Benutzerdaten in die Hände bekommen kann. Überhaupt nicht gut. Aber was ist mit Benutzernamen und Passwörtern – den wichtigsten Arten von Daten, mit denen das Unternehmen umgeht?
Nun, die sind auch gestohlen worden; sie bleiben jedoch verschlüsselt. Das bedeutet, dass die Täter dank der Zero-Knowledge-Architektur von LastPass keine davon herausfinden können, bis sie Ihr Master-Passwort kennen.
Was sollte ich tun, um mein LastPass-Konto zu schützen?
Wenn Sie sie verwenden würden, bräuchten die Hacker nach heutigem Stand „Millionen von Jahren“, um Ihre Passwörter mit aktueller Technologie brutal zu erzwingen – raten Sie mal, aber in IT-Begriffen.
Eine andere Sache, die Sie tun sollten, ist, auf Social Engineering- oder Phishing-Versuche zu achten, selbst wenn Sie Ihre Passwörter geändert haben. Dies sind oft E-Mails oder DMs, die versuchen, Sie davon zu überzeugen, ihnen Ihre Anmeldeinformationen zu geben, indem Sie sich unter Druck gesetzt fühlen, sie zu teilen.
Dies ist Ihre freundliche Erinnerung daran, dass kein seriöses Unternehmen das jemals tun würde. Wenn ja, sollten Sie unbedingt ihre Seriosität in Frage stellen. Und ein gutes Mittel zur Befragung ist die doppelte Überprüfung.
Wenn zum Beispiel – vermutlich – Ihre Bank anruft und nach Ihren Online-Banking-Informationen fragt, versuchen Sie, den Anruf zu verschieben, um Ihre tatsächliche, nicht vermutete Bank anzurufen, und fragen Sie sie, ob sie Sie gerade angerufen hat, um nach diesen Informationen zu fragen. Die Antwort wird wahrscheinlich nicht schockierend sein.
Dieses Bild dient aufgrund seines Textes hauptsächlich ironischen und komödiantischen Zwecken.
Ehrlich gesagt tun sie das Beste, was möglich ist: alles beseitigen, was etwas mit dem gestohlenen Know-how zu tun hat, und ein brandneues System von Grund auf neu aufbauen, mit verbesserten Schutz- und Warnmechanismen.
Karim Toubba, CEO von LastPass, erklärte, dass derzeit keine weiteren Maßnahmen erforderlich seien. Sie gehen sogar so weit zu sagen, dass Sie, wenn Ihr aktuelles Master-Passwort den oben genannten Best Practices entspricht, sogar weitermachen können, ohne es zu ändern.
Aber obwohl die Natur des Lebens so ist, dass nur wenige Dinge im Laufe der Zeit gleich bleiben, gilt eines immer: Besser auf Nummer sicher gehen. Wir empfehlen Ihnen dringend, sich damit vertraut zu machen, wie man ein sicheres Passwort erstellt, und dieses Wissen in vollem Umfang zu nutzen.