Gefährliche Sicherheitslücke bei Passwortmanager Lastpass

Quelle: https://www.maclife.de/news/gefahr-passwoerter-waren-bei-lastpass-nicht-sicher-10080639.html

Autor: Andreas Donath

Datum: 01.08.16 - 21:41 Uhr

Gefahr: Passwörter waren bei Lastpass nicht sicher

Der Online-Passwortmanager Lastpass könnte dank einer großen Sicherheitslücke alle Kennwörter des Nutzers über präparierte Websites verraten haben. Die Sicherheit wurde mittlerweile wieder hergestellt. Anwender sollten unbedingt die Updates des Programms bzw. der Browser-Plugins installieren.

Passwortmanager sind der Hauptgewinn für Hacker. Knacken sie deren Schutz, können sie nicht nur ein einzelnes Kennwort erbeuten sondern alle, die der Anwender darin gespeichert hat. Das kann sich durchaus lohnen.

Tavis Ormandy von Google Project Zero hatte im Passwortmanager LastPass eine riesige Sicherheitslücke entdeckt, die eine Kompromittierung des Datenspeicher ermöglichte. Der Angreifer hätte so die Kennwörter des Nutzers im Klartext ausgelesen können.

Wieviele Nutzer der Passeortmanager hat, ist nicht bekannt. Vermutlich ist nur die Firefox-und die Chrome-Plugin-Variante verwundbar. Die Browser-Erweiterung des Passwortmanagers gibt es auch für Safari.

Lesetipp

LastPass verkauft - das müssen Apple-Nutzer jetzt wissen

LogMeIn übernimmt den Passwort-Manager LastPass für 110 Millionen US-Dollar. Diese Nachricht hat bei vielen Nutzern von OS X und iOS für... mehr


Beim Besuch präparierter Websites erlaubte es der Fehler, die Lastpass-Erweiterung über ein kleines Javascript anzugreifen. So konnte der Angreifer nicht nur neue Kennwörter beim Nutzer anlegen, bestehende löschen sondern auch alle gespeicherten Logins- und Kennwörter im Klartext abgreifen.

Online-Passwortverwaltung mit Lastpass gefährlich

Lastpass hatte schon im Juni 2015 Sicherheitsprobleme. Während es diesmal ein Sicherheitsforscher war, der die Lücke entdeckte, die vermutlich nicht ausgenutzt wurde, war das im Sommer letzten Jahres anders. Damals war es Hackern gelungen, E-Mail-Adressen, Passworthinweise und Authentifizierungshashes von einigen Nutzerkonten zu erbeuten. Die Kennwörter selbst waren damals nicht betroffen. Dennoch mussten alle Nutzer ihr Masterkennwort ändern.

Der Google-Sicherheitsexperte will auch den beliebten Kennwortmanager 1Passwort unter die Lupe nehmen.

Das Update für das Firefox-Plugin wird für den manuellen Download angeboten und soll auch über den Firefox-Updatemechanimus eingespielt werden können. Chrome aktualisiert seine Plugins bei bestehender Netzwerkverbindung nach einem Neustart selbstständig.