Benutzer berichten, dass LastPass-Master-Passwörter möglicherweise kompromittiert wurden, das Unternehmen versichert, dass es keine Verletzung gibt

Kurz gesagt: LastPass-Benutzer haben Anfang dieser Woche damit begonnen, Anmeldeversuche von unbekannten Orten mit korrekten Master-Passwörtern zu melden. Das Passwort-Manager-Unternehmen behauptet, dass diese wahrscheinlich von wiederverwendeten Passwörtern stammten, die von unabhängigen Hacks aufgedeckt wurden, aber einige Benutzer sind anderer Meinung und haben verschiedene Theorien vorgeschlagen.

LastPass- Benutzer im Hacker News-Forum melden Anmeldeversuche bei alten und inaktiven Konten. Es scheint jedoch nicht isoliert zu sein, um Anmeldeinformationen zu verlieren. Andere berichten, dass sie E-Mail-Benachrichtigungen über seltsame Anmeldeversuche bei neueren aktiven Konten erhalten.

Nach Prüfung der Berichte veröffentlichte LastPass eine Erklärung, in der behauptet wurde, dass der Dienst selbst nicht kompromittiert wurde. Das Unternehmen glaubt, dass die Zugangsdaten von früheren unabhängigen Service-Hacks stammen. Einige Benutzer von Hacker News geben an, dass sie Anmeldebenachrichtigungen erhalten haben, nachdem sie kürzlich auf neue, eindeutige Passwörter umgestellt haben.

Eine Theorie im Forum besagt, dass jemand die Schwachstelle einer LastPass-Browsererweiterung über eine außergewöhnlich gut gestaltete Phishing-Site ausnutzt. Die Website ist mit einer IP-Adresse verbunden, die mit mehr als einem der Anmeldeversuche verknüpft ist, die anscheinend aus Brasilien stammt. Einige andere Versuche kamen aus Indien und mindestens ein weiterer kam aus Thailand.

Es ist wichtig zu beachten, dass keiner der Anmeldeversuche die Zwei-Faktor-Authentifizierung von LastPass durchdrungen hat, die Sie wahrscheinlich bereits für jeden Dienst verwenden sollten, der sie anbietet. Besorgte Benutzer sollten auch erwägen, ihre Master-Passwörter zu ändern.