LastPass – einer der weltweit führenden Passwort-Manager – meldete einen Verstoß, der dazu führte, dass der Quellcode und technische Daten des Dienstes gestohlen wurden.

Laut LastPass bemerkten sie vor einigen Wochen ungewöhnliche Aktivitäten in ihrer Entwicklungsumgebung. Nach der Einleitung einer Untersuchung stellte der Dienst fest, dass sich eine unbefugte Partei tatsächlich über ein kompromittiertes Mitarbeiterkonto Zugang zu bestimmten Teilen der technischen Seite von LastPass verschafft hatte. Der Verstoß führte dazu, dass bestimmte Teile des LastPass-Quellcodes und bestimmte firmeneigene technische Informationen gestohlen wurden.

LastPass besteht jedoch darauf, dass weder Legitimationen, Zugangsdaten, Passwörter, Master-Passwörter, verschlüsselten Laufwerke noch die darin enthaltenen Informationen der Benutzer gestohlen wurden oder in irgendeiner Weise gefährdet sind. Alle Dienste des Anbieters funktionieren normal, und der Benutzer muss seine Passwörter oder Anmeldeinformationen nicht ändern.

Derzeit führt LastPass eine gründliche Untersuchung des Verstoßes durch und setzt dabei die Hilfe eines nicht namentlich genannten „führenden Cybersicherheits- und Forensikunternehmens“ ein. In der Zwischenzeit versichern Unternehmensvertreter den Kunden, dass sie den Vorfall eindämmen könnten und zusätzliche Sicherheitsmaßnahmen zum Schutz des Dienstes implementiert haben.

Laut Bloomberg hat LastPass weltweit über 33 Millionen Nutzer. Das Cybersicherheitsportal Bleeping Computer berichtet, dass über 100.000 der Kunden von LastPass Unternehmen und Unternehmen sind.

Je nachdem, welche Art von Quellcode bei der Verletzung gestohlen wurde, könnten böswillige Angreifer möglicherweise die Algorithmen zurückentwickeln, die in die automatische Passwortgenerierung des Dienstes einfließen, und sich weiteren Zugriff auf Benutzerkonten verschaffen.