LastPass: Sicherheitslücke aufgedeckt und Schlimmeres verhindert
Eine Sicherheitslücke im Passwortmanager LastPass machte es möglich, dass bestimmte Kennwörter von Dritten abgegriffen werden konnten.
Das Wichtigste in Kürze
- Der Passwortmanager LastPass trug eine grosse Sicherheitslücke in sich.
- Ein Sicherheitsforscher von Google meldete sie, bevor sie ausgenutzt werden konnte.
- Mittlerweile wurde das Leck beseitigt.
LastPass ist ein Passwortmanager, der Kennwörter speichert und einem Master-Passwort unterordnet. Wird man dann etwa von Facebook, Twitter oder Gmail zur Eingabe des Kennworts aufgefordert, erscheint dieses automatisch im Eingabeformular.
Nun hat ein Sicherheitsforscher des Suchmaschinisten Google, Tavis Ormandy, aufgedeckt: Mit einem Trick ist es möglich, LastPass-Nutzer auf eine Seite zu lotsen, welche die zuletzt verwendeten Kennwörter abgreift. In Tat und Wahrheit ist dies noch nie geschehen – technisch machbar scheint die Sache aber zu sein. Denn dem Sicherheitsforscher ist es Test-halber gelungen.
Ormandy hat seinen Fund sogleich dem Hersteller gemeldet, der die Sicherheitslücke zwei Wochen darauf via Update schloss.
Dies ist nicht das erste Mal, dass die App LastPass mit Sicherheitslücken Negativschlagzeilen macht. Gemäss der «Zeit» wurde die Software bereits 2011, 2015 und 2016 Opfer von Cyberangriffen. Teilweise konnten die Hacker sensible Nutzerdaten abgreifen.