Benutzer melden kompromittiertes LastPass-Masterpassword

Sicherheit (Pexels, allgemeine Nutzung)[English]Gibt es ein Problem bei der Passwort-Verwaltungslösung LastPass? LastPass-Benutzer befürchten kompromittierte Master-Passwörter. Sie erhielten E-Mail-Warnungen, dass jemand versucht hat, sich von unbekannten Orten aus in ihre Konten einzuloggen. Das könnte auf ein größeres Sicherheitsproblem hindeuten. Auf jeden Fall sollten LastPass-Nutzer vorsorglich das Master-Passwort ändern und eine Zweifaktor-Authentifizierung für den Dienst aktivieren.


Anzeige

Die erste Meldung, die mir untergekommen ist, stammt vom 27. Dezember 2021 und steckt in nachfolgendem Tweet.

Warning about LastPass master password leak

LastPass-Benutzer werden darüber informiert, ihr Master-Passwort zu ändern. Es gibt den Verdacht, dass es ein Sicherheitsproblem mit dem Dienst gibt. Auf dieser Seite beschreibt ein Betroffener das Problem.

How did my LastPass master password get leaked?

Hi,

I've just had a bizarre thing happen and wanted to see if the HN community could come up with some theories as to what happened.

LastPass blocked a login attempt from Brazil (it wasn't me). According to an email I received from LastPass, this login was using the LastPass account's master password. The email doesn't look like it's a phishing attempt.

What troubles me is that the master password was stored in a local encrypted KeePassX file.

I can imagine that someone has my KeePassX file and the (completely different) password to this file. If that's the case, I'm in a world of hurt.

But are there any other possibilities? Is the email from LastPass accurate i.e. was the login attempt actually using my master password? Is there some LastPass extension installed on some computer still having a valid auth token allowing them to login as me to LastPass..?

I'm really confused, and scared.

Thanks for your help.

P.S. The LastPass account had 2FA set up, but I was able to simply remove it (since I didn't have access to the token anymore). That's scary too — what's the point of a 2FA you can remove…??

Update:

– the email was truly not phishing — the same information regarding the login attempt appears in my LastPass dashboard. I also talked to LastPass support over the phone, and they confirmed seeing the same information.

– There are 2 separate users in the thread below confirming that the same exact same thing happened to them, from the exact same IP range as me.

Either the 3 of us had the same malware/Chrome extension or somehow had our master passwords compromised…? Or…? Is this a LastPass issue?

Der Dienst LastPass hat den Zugriff auf den Dienst blockiert, weil dieser Zugriff aus Brasilien erfolgt. Bei der Anmeldung wurde versucht, das Master-Passwort zu verwenden. Der Zugriff wurde von der Plattform aber blockiert, weil der Ort des Zugriffs mysteriös war. Der Nutzer gibt an, dass sein 2FA-Schutz leicht deaktiviert werden konnte. Inzwischen bestätigen weitere Benutzer dies Beobachtung und auch der LastPass-Support konnte Aktivitäten feststellen.


Anzeige

Warnung vom LastPass-Support

Seiten wie The Record berichten inzwischen über den Verdacht, dass da Angriffe auf LastPass-Nutzer stattfinden, in denen das Master-Password verwendet werde. Es wird vermutet, dass Cyberkriminelle über Password-Stuffing an die Master-Passwörter herangekommen sein könnten. Es gab ja Sicherheitsvorfälle bei LastPass, bei denen Kennwörter erbeutet wurden (LastPass: Bug ermöglicht Passwortklau).

Nikolett Bacso-Albaum, Global PR/AR Senior Director bei LogMeIn, erklärte gegenüber BleepingComputer: LastPass hat die jüngsten Berichte über blockierte Anmeldeversuche untersucht und festgestellt, dass es sich dabei um eine relativ häufige Bot-Aktivität handelt, bei der ein böswilliger oder bösartiger Akteur versucht, auf Benutzerkonten (in diesem Fall LastPass) zuzugreifen, indem er E-Mail-Adressen und Passwörter verwendet, die er von Drittanbietern im Zusammenhang mit anderen nicht angeschlossenen Diensten erhalten hat.

Vom LastPass-Support gibt es das Dokument Unusual Attempted Login Activity: How LastPass Protects You vom 28. Dezember 2021. Dort gibt Hinweise, wie der Dienst einen Missbrauch verhindert und was Benutzer zur Absicherung gegen Passwort-Klau tun können.

Statement about LastPass incident

Ergänzung: Gemäß diesem Tweet der Kollegen von Bleeping Computer wurden die Benachrichtigungen durch einen Fehler im LastPass-Dienst ausgelöst. Aber ich sehe durchaus das Problem, dass einige Nutzer ein Master-Passwort verwenden, welches wohl leicht durch Password-Stuffing (probieren von bekannten Passwörtern aus Leaks) geknackt werden kann.

Ähnliche Artikel:
LastPass Android-App trackt seine Benutzer
LastPass Android Authenticator-App unsicher, updaten!
LastPass: Bug ermöglicht Passwortklau
Sicherheits-Update für LastPass Kennwort-Manager
LastPass gehackt!


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Benutzer melden kompromittiertes LastPass-Masterpassword

  1. Luzifer sagt:

    Tja und das ist genau der Grund warum PW niemals auf dem Rechner gespeichert gehören … MasterPW futsch alle Accounts kompromitiert.

    und dann das dazu:

    https://winfuture.de/news,127228.html

    Es gilt halt weiterhin die Regel: Bequemlichkeit schließt Sicherheit aus! Entweder bequem oder sicher … beides zusammen gibt es nicht.

  2. Martin Wildi sagt:

    Obwohl ich LastPass aufgrund der vermehrt auftretenden Sicherheitsvorfälle am Ablösen bin, habe ich noch einige PW's da drin. Aufgrund dieser Meldung hier wollte ich mich anmelden, was aber aufgrund der MFA-Prüfung scheiterte. Ich erhielt die Meldung "An error has occurred while contacting the LastPass server. Please try again later."

    Der Code auf dem Handy wird ordnungsgemäss angezeigt und ändert auch automatisch.

    Hat jemand dasselbe Problem beobachten können?

    • Sonic sagt:

      Lastpass ist bei mir mit folgenden Faktoren abgesichert:
      – Lastpass Authenticator
      – Microsoft Authenticator (bei meiner Frau)
      – GRID (an einem sicheren Ort)
      mit allen soeben Logins versucht -> keine Probleme

    • Niels sagt:

      Hatte das Problem nicht, kann dir aus Erfahrung nur sagen das LastPass teils nicht mit jedem Browser funktioniert und das leeren des Caches oft wunder wirkt.

      Vielleicht hilft es dir ja

  3. 1ST1 sagt:

    LastPass wurde ja mal als der letzte geile Scheiss gepriesen, viel besser als KeePass oder so… Tolle Wurst, wirklich!

    Übrigens, Log4j entwickelt sich auch gerade zu einer Never-Endingh-Story, jetzt gibts Version 2.17.1, wieder Remote-Code-Execution, allerdings angeblich nicht ganz so schwerwiegend. https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/

    Und dass Passwörter aus dem Speicher von Browsern geklaut werden, war ja wohl auch absehbar, oder? Vielleicht liegen da ja die LastPass-Masterpasswörter, die hier benutzt wurden? https://www.bleepingcomputer.com/news/security/redline-malware-shows-why-passwords-shouldnt-be-saved-in-browsers/

    • RG sagt:

      Zitat Kommentar zu LastPass bei BleepingComputer/Facebook (15 h alt):

      Marc S. Ragusa
      No they weren't. It's just a common attack using email / passwords leaked in past beaches from other services ("credential stuffing"). If you aren't using a unique password for your password manager you're ignorant.
      TIP: Don't re-use the same email and password combination for more than one site. When one site is breached (say Twitter), they try your stolen password on hundreds of other sites (like Facebook, Paypal, etc.). Passwords are rarely guessed. This is why most sites will be using two-factor authentication soon.

    • sonic sagt:

      ich denke nicht, dass LastPass mit KeePass (habe ich viele Jahre genutzt) verglichen werden kann.
      Ich selbst nutze Lastpass, da es als Cloud-Lösung nunmal seine Vorteile auf den SmartPhones, Tablets, Notebooks und Co ausspielt.
      Meine Kinder nutzen Bitwarden Personal (Basic Free Account=Cloud-Lösung) und kommen damit 1a zurecht an ihren Geräten. Zugriff via MFA gesichert. Anfangs hatten wir auch Keepass am heimischen PC im Einsatz, nur war das sehr umständlich, diesen immer wieder zu starten wegen einem Kennwort und dann wurden doch wieder einfache Kennwörter überhall vergeben…

      • 1ST1 sagt:

        Ich habe mein Keepass im OneDrive im "Tresor", da habe ich auch von überall Zugriff darauf, und durch MS-Account, Tresor und Keepass-Passwort+Verschlüsselung ist das Ding quasi 4-fach geschützt. Es gibt für Keepass auch mobile Apps. Und mein Heimserver macht täglich ein Backup des gesamten OneDrives, so dass es mir nichtmal durch eine Cloud-Störung verloren gehen kann.

  4. RG sagt:

    Standort als zweiten Faktor ist nunmal nur suboptimal. Passwort ändern hilft doch auch nur bedingt und zeitweise, insofern E-Mail bekannt.

    • sonic sagt:

      Standort ist als Faktor bei Lastpass nicht möglich, oder war der Kommentar eventuell als Satire gedacht, dann habe ich es nicht gerafft ;-)

      Vermutlich wurden diese Mails veröffentlicht:
      "Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved."

  5. Gerold sagt:

    PC-WELT berichtet:

    Lastpass: Hackerwarnungen waren interner Fehler

    Neue Wendung in Sachen "Lastpass und Hackerangriffe": Die vielen mysteriösen Warnmails seien zumindest teilweise die Folge eines internen Fehlers.

    Update 16.00 Uhr: Mittlerweile hat Lastpass eine neue Erklärung für die vielen Mails geliefert, die Lastpass-Nutzer bekommen hatten, weil angeblich von einem unbekannten Standort oder Gerät auf ihr Nutzerkonto zugegriffen wurde. Demnach seien zumindest einige dieser Warnmails aufgrund eines internen Fehlers bei Lastpass verschickt worden, wie The Verge berichtet .

    Die Untersuchung von Lastpass habe ergeben, dass einige dieser Sicherheitswarnungen, die an eine begrenzte Gruppe von Lastpass-Benutzern gesendet wurden, wahrscheinlich irrtümlich ausgelöst wurden. Lastpass haben deshalb seine Sicherheitswarnungen angepasst und dieses Problem soll inzwischen behoben sein.

    In diesem Zusammenhang betonte Lastpass, dass es zu keinem Zeitpunkt das Master-Passwort eines Benutzers speichere, davon Kenntnis habe oder darauf zugreifen könne.
    Update Ende

    • Luzifer sagt:

      naja, behaupten können die ja viel –> Schadensbegrenzung ;-P
      Schließlich kann die das auch teuer zu stehen kommen.
      Adobe leugnete damals auch erst, als dann die Daten im Web auftauchten gaben sie es kleinlaut zu.
      Was nun stimmt wird die Zeit zeigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.