LastPass-Firma GoTo: Weitere Kundendaten gestohlen

Zum Hack des LastPass-Unternehmens GoTo tauchen immer mehr Details auf. Wie das Unternehmen zugibt, sollen nicht nur LastPass-Daten, sondern auch Daten aus anderen Produkten gestohlen worden sein. Zudem wurde im November 2023 ein Sicherheitsschlüssel gestohlen, mit dem ein Teil der Daten gesichert wurde.

Der eigentliche Hack wurde bereits im August von einer "unautorisierten Partei" durchgeführt. Unternehmensdaten, die bei der Aktion gestohlen wurden, wurden dann im November verwendet, um in eine weitere LastPass-Datenbank zu gelangen. Dort befanden sich Kund*inneninformationen wie Namen, E-Mail-Adressen, Rechnungsadressen, Telefonnummern und IP-Adressen.

Verschlüsselte Daten samt Schlüssel gestohlen

Laut GoTo wurden damals keine verschlüsselten Informationen entwendet. Wie das Unternehmen nun aber zugibt, hatten die Cyberkriminellen auch Zugriff zu verschlüsselten Backups einiger Kund*innen. Der kryptografische Schlüssel, der zum Entschlüsseln einiger Daten nötig ist, soll ebenso gestohlen worden sein. Betroffen seien die Produkte Central, Pro, join.me, Hamachi und RemotelyAnywhere.

"Die betroffenen Informationen, die je nach Produkt variieren, können Kontobenutzernamen, gehashte Passwörter, einen Teil der Einstellungen für die Multi-Faktor-Authentifizierung sowie einige Produkteinstellungen und Lizenzinformationen umfassen“, sagte Paddy Srinivasan, CEO des LastPass-Mutterunternehmens GoTo in einer Aussendung.

Keine persönlichen Daten gespeichert

Wie viele Kund*innen vom Datendiebstahl betroffen sind, ist nicht bekannt. GoTo gibt aber an, betroffene Kund*innen zu informieren.

Außerdem will das Unternehmen noch einmal darauf hinweisen, dass bei LastPass keine vollständigen Kreditkarten- oder Bankinformationen, Geburtsdaten oder Wohnadressen gespeichert werden. Man sei zudem bemüht, den Hack vollständig aufzuklären.