LastPass: Viele Nutzer melden fremde Account-Zugriffe

Mehrere Nutzer*innen des Passwortmanagers LastPass meldeten diese Woche fremde Account-Zugriffe. Die Anwender*innen bekamen Mails, dass sich jemand versucht, in ihr Konto einzuloggen und dafür das richtige Master-Passwort verwendet. Die Login-Versuche wurden laut den Mails dennoch geblockt, weil die sie von unbekannten Geräten bzw. Standorten durchgeführt wurden. 

Bei einem entsprechenden Posting im Hacker-News-Forum sowie auf Twitter meldeten sich zahlreiche User*innen, die ebenfalls vor Kurzem eine derartige Meldung bekommen haben. Bei vielen erfolgte der Zugriff aus der gleichen brasilianischen IP-Range.

Schnell wurde die Vermutung laut, dass es einen Datendiebstahl bei LastPass gegeben haben könnte. Das stellte ein Vertreter des Mutterkonzerns LogMeIn gegenüber The Verge jedoch in Abrede. Man habe keine Hinweise, dass LastPass-Konten kompromittiert wurden. Stattdessen gehe man davon aus, dass die Warnungen irrtümlich und aufgrund eines Fehlers versandt wurden. Das Problem, dass das ausgelöst hat, habe man bereits behoben. 

Datenschutz

LastPass hatte zuletzt mit einem schlechten Ruf zu kämpfen. So fand ein Deutscher Sicherheitsforscher im Februar heraus, dass sich in der Android-App 7 Werbe-Tracker, darunter 4 von Google sowie 3 weitere von AppsFlyer, MixPanel und Segment befinden.

Sie geben Daten an Drittanbieter weiter, darunter etwa Informationen zum verwendeten Smartphone, der Android-Version, zum Mobilfunkanbieter sowie die Android-Werbe-ID, mit der sich auch anderswo gesammelte Daten einem Gerät zuordnen lassen. Auch könnten die Tracker möglicherweise ein Einfallstor für Angreifer*innen sein. 

Zuvor hatte der Dienst bereits mit mehreren Sicherheitslücken zu kämpfen, bei denen Master-Passwörter abgegriffen werden konnten.