In letzter Zeit viele LastPass-Benutzer haben gemeldet, dass ihre Master-Passwörter kompromittiert wurden nach Erhalt von E-Mail-Warnungen, dass jemand versucht hat, sich von unbekannten Orten aus bei ihren Konten anzumelden.
Die E-Mail-Benachrichtigungen Sie erwähnen auch, dass Verbindungsversuche blockiert wurden, weil Sie wurden an unbekannten Orten der Welt hergestellt.
„Jemand hat gerade Ihr Master-Passwort verwendet, um zu versuchen, sich von einem Gerät oder Ort aus, das wir nicht kennen, bei Ihrem Konto anzumelden“, warnen die Anmeldewarnungen. „LastPass hat diesen Versuch blockiert, aber Sie sollten genauer hinschauen. Du warst es? «
Berichte über kompromittierte LastPass-Master-Passwörter werden über verschiedene Social-Media-Sites und Online-Plattformen, einschließlich Twitter, verbreitet.
Die meisten Berichte scheinen von Benutzern mit veralteten LastPass-Konten zu kommen, was bedeutet, dass sie den Dienst seit einiger Zeit nicht mehr genutzt und das Passwort nicht geändert haben. Eine der damaligen Annahmen war, dass die Liste der verwendeten Master-Passwörter von einem früheren Hack stammen könnte.
Einige Benutzer behaupten, dass ihnen das Ändern ihrer Passwörter nicht geholfen hat, und ein Benutzer behauptete, bei jeder Passwortänderung neue Anmeldeversuche von verschiedenen Standorten aus gesehen zu haben.
LastPass hat jüngste Berichte untersucht, denen zufolge Anmeldeversuche blockiert wurden, und festgestellt, dass die Aktivität mit einer recht häufigen Bot-Aktivität zusammenhängt, bei der ein böswilliger Akteur oder ein böswilliger Akteur versucht, mithilfe von erhaltenen E-Mail-Adressen und Passwörtern auf Benutzerkonten (in diesem Fall LastPass) zuzugreifen. aus Verstößen Dritter im Zusammenhang mit anderen nicht verbundenen Diensten ”.
„Es ist wichtig zu beachten, dass wir keine Hinweise darauf haben, dass auf die Konten erfolgreich zugegriffen wurde oder dass der LastPass-Dienst von einer nicht autorisierten Partei kompromittiert wurde. Wir überwachen diese Art von Aktivitäten regelmäßig und werden weiterhin Maßnahmen ergreifen, um sicherzustellen, dass LastPass, seine Benutzer und ihre Daten geschützt und sicher bleiben “, fügte Bacso-Albaum hinzu.
Aber die Befragte Benutzer, die diese Warnungen erhalten haben, gaben an, dass ihre Passwörter nur für LastPass gelten und sie werden nirgendwo anders verwendet. Aus diesem Grund fragte sich ein Internetbenutzer: "Wie haben sie diese einzigartigen LastPass-Passwörter ohne LastPass-Verletzung erhalten?" »
Während LastPass keine Details darüber preisgab, wie die böswilligen Akteure hinter diesen Credential-Stuffing-Versuchen vorgegangen sind, sagte der Sicherheitsforscher Bob Diachenko, dass er kürzlich Tausende von Informationen gefunden habe.
Einige der LastPass-Kunden, die solche Verbindungswarnungen erhalten haben, haben angegeben, dass ihre E-Mails nicht auf der Liste der von RedLine Stealer gesammelten Verbindungspaare stehen, die Diachenko gefunden hat.
Darüber hinaus hat er selbst darauf hingewiesen, dass dies nicht die Quelle des Angriffs war:
„OK, ich habe einige Anfragen erhalten, E-Mails in den RedLine Stealer-Protokollen zu überprüfen, und es gibt keine. Er hatte keine aktenkundig. Das war also anscheinend nicht die Quelle des Angriffs (leider, denn das hätte den Vektor leichter verständlich gemacht)“.
Dies bedeutet, dass zumindest bei einigen dieser Berichte die böswilligen Akteure hinter den Akquisitionsversuchen Sie haben andere Mittel verwendet, um Master-Passwörter von ihren Zielen zu stehlen.
Einige Kunden haben auch gemeldet, dass sie ihr Master-Passwort geändert haben seit sie die Login-Warnung erhalten haben, nur um eine weitere Benachrichtigung zu erhalten, nachdem das Kennwort geändert wurde.
„Jemand hat gestern versucht, mein LastPass-Master-Passwort einzugeben, und einige Stunden, nachdem ich es geändert hatte, hat es jemand erneut versucht. Was zur Hölle ist los ? «
Erschwerend kommt hinzu, dass Kunden, die versucht haben, ihre LastPass-Konten nach Erhalt dieser Warnungen zu deaktivieren und zu löschen, nach dem Klicken auf die Schaltfläche "Löschen" auch die Fehlermeldung "Etwas ist schief gelaufen" erhalten.
Obwohl LastPass nicht kompromittiert wurde, wird LastPass-Benutzern empfohlen, die Multi-Faktor-Authentifizierung zu aktivieren, um ihre Konten zu schützen.
Auf seiner Website erklärt LastPass:
„Die Multi-Faktor-Authentifizierung (MFA) mit One-Touch-Benachrichtigungen (OneTap) auf dem Handy, per SMS gesendeten Codes oder Fingerabdruck-Verifizierung bietet eine zweite Sicherheitsebene, um die Identität eines Benutzers zu bestätigen, bevor ihm der Zugriff gewährt wird. Mit MFA können Administratoren Authentifizierungsrichtlinien einrichten, die den Sicherheitsstandards entsprechen, ohne die Arbeitszeit oder die Arbeitszeit der Mitarbeiter zu beeinträchtigen. LastPass MFA geht über die herkömmliche Zwei-Faktor-Authentifizierung hinaus, um sicherzustellen, dass die richtigen Benutzer zur richtigen Zeit auf die richtigen Daten zugreifen.