更新vom 22。Dezember 2022

Geschatzte LastPass-Community,

wir haben Sie vor Kurzem darüber informiert, dass Unbefugte Zugriff auf einen external Cloud-Speicherdienst erlangen konnten, den LastPass zur Speicherung archivierter producktionsdaten - backups nutzt。我是Sinne unseres versprechen, stets transparent zu agieren, wollen wir Sie hier über den aktuellen Stand unserer laufenden Untersuchung informieren。

wir bisher是否明智

不知道在什么地方，在什么地方，在什么地方，在2022年8月，在什么地方，在什么地方。我是2022年8月wurden keine Kundendaten entwendetDie kriminellen Akteure stahlen jedoch Quellcode and technische Daten aus unserer entwicklunsumgebung and verwendeten sie für einen gezielten anger auf eines unserer team mitglider。mitden so erbeuteten Zugangsdaten und Schlüsseln griffen sie anschließend auf bestimmte Speichervolumes des cloudbasierten Speicherdienstes zu und entschlüsselten diese。

Wir hosten die LastPass-Dienste (d. h. unsere Produktionsumgebung) gegenwärtig in unseren internen Rechenzentren;der Cloud-Speicher wid für verschiedene Zwecke wie die Speicherung von备份和zur Erfüllung regionaler Auflagen bezüglich des Datenaufbewahrungsortes genutzt。“云的科学”，“我们的科学”，“我们的科学”。

Wie unsere bisherigen Ermittlungen ergaben, kopierten die kriminellen Akteure Daten aus dem备份，nachdem sie den Schlüssel und die dualen Entschlüsselungsschlüssel für den Speichercontainer in ihren Besitz gebracht hatten。Dieses Backup enielt grundlegende Kontodaten von Kunden und dazugehörige Metadaten wie Firmennamen, Benutzernamen, Rechnungsadressen, E-Mail-Adressen, teleefonnummern und die IP-Adressen， über die Kunden auf den LastPass-Dienst zugriffen。

Darüber hinaus konnten die kriminellen Akteure in Backup mit Vault-Daten von Kunden ausdem verschlüsselten Speichercontainer kopieren。diesel wies in einem proprietären Binärformat gespeichert, das sowohl unverschlüsselte Daten wie网址vollständig verschlüsselte vertrauliche Felder wie网址- benutzernamen und Passwörter, sichere Notizen und Formulardaten enthält。Diese verschlüsselten Felder信手信脚256-Bit-AES-Verschlüsselung geschützt und lassen sich nur einem eindetigen Entschlüsselungsschlüssel entschlüsseln, under under Verwendung unserer Zero-Knowledge-Architektur vom master - password jedes Benutzers abgeleitet ward。Zur Erinnerung: LastPass kennt die Master-Passwörter seiner Benutzer nicht。你是我的新娘。Die Ver- und Entschlüsselung der Daten erfolgt ausschließlich im lokalen LastPass-Client。Nähere Informationen zu unserer零知识- architektur und den Verschlüsselungsalgorithmen finden Sie在这里．

他说:“我的祖国，我的祖国，我的祖国unverschlüsselte我的祖国。”LastPass speichert keine vollständigen Kreditkartennummern, und in der betroffenen Cloudspeicherumgebung werden keine Kreditkartendaten archiviert。

bedeutet das?信德·伊赫·达滕gefährdet?

密码保护könnten versuchen，国际卫生条例主密码和密码的暴力-武力-方法和密码的kopen der Vault-Daten zu entschlüsseln。Aufgrund der zu Ihrem Schutz eingesetzten Hashing- und Verschlüsselungsmethoden wäre es jedoch sehr schwierig, das master - password jener Kunden zu erraten，不安详地死去最佳实践für die Passwortsicherheit folgen。Um unsere kryptographischen Maßnahmen auf dem neuesten Stand zu halten und weiter zu verbessern, testen wir regelmäßig, ob unsere Algorithmen den neuesten Technologien zum Knacken von Passwörtern standhalten。

Zudem könnten die kriminellen Akteure mittels Phishing, Credential-Stuffing oder anderen Brute-Force-Methoden在线- konten von Kunden angreifen, die mit ihren LastPass-Vaults assoziiert sind。wicichtig zum Schutz vor社会工程和网络钓鱼-Angriffen: LastPass kontaktiert Sie nie telefonisch, per E-Mail oder SMS mit der Bitte, zur Verifizierung Ihrer persönlichen Daten auf einen Link zu klicken。Außer bei der Vault-Anmeldung über einen LastPass-Client fragen wir Sie nie nach Ihrem主密码。

是LastPass-Kunden tun吗?

Zur Erinnerung: Die standardmäßigen master - password - einstellungen und Best Practices von LastPass umfassen folgende Maßnahmen:

• Seit 2018 müssen LastPass-Master-Passwörter mindestens zwölf Zeichen lang sein。die minimiert das Risiko, dass das Passwort per Brute-Force-Methode erraten wild, beträchtlich。
• Um die Sicherheit Ihres master - passwords weiter zu erhöhen, verwendet LastPass 100.100 Iterationen von PBKDF2(基于密码的密钥推导函数2)- das sind mehr Durchgänge als bei üblichen Implementierungen。PBKDF2 ist ein Algorithmus zur Stärkung des密码，des密码，das主密码。Sie können die aktuellen PBKDF2-Iterationen Ihres LastPass-Kontos在这里uberprufen。
• Wir empfehlen Ihnen außerdem, Ihr主密码nie auf anderen网站zu verwenden。Wenn Sie es doch tun und dieses password wort dann kompromittiert wid, könnten Cyberkriminelle versuchen, sich mit bereits im Internet verfügbaren gestohlenen Zugangsdaten Zugriff auf Ihr Konto zu verschaffen (eine als凭证填充bezeichnete Methode)。

Mit den oben beschriebenen标准密码würde es million Jahre daun, Ihr master - password Mit derzeit gängigen Methoden zu knacken。Ihre vertraulichen Vault-Daten wie Benutzernamen and Passwörter, sichere Notizen, Anhänge and Formularfelder sinind and bleiben dank der Zero-Knowledge-Architektur von LastPass sicher verschlüsselt。Sie müssen diesbezüglich zum aktuellen Zeitpunkt keine Maßnahmen ergreifen。

wicichtig: Falls Sie niht von den oben beschriebenen master - password - standardeinstellungen Gebrauch machen, wäre die Anzahl der Versuche, bis jemand Ihr master - password - erraten könnte, wesentlich geringer。In diesem Fall sollten Sie zur Minimierung des Risikos als zusätzliche Sicherheitsmaßnahme erwägen, die Passwörter für Ihre gespeicherten Websites zu ändern。

LastPass-雷竞技没用真名能提现吗 business - kunden, die von unseren Verbundanmeldungsdiensten Gebrauch machen, sind weiterhin durch die Zero-Knowledge-Architektur von LastPass geschützt。Ihre Vault-Daten werden mit einem versteckten主密码verschlüsselt。Je nach gewähltem Implementierungsmodell handelt es ich bei diesem versteckten master - password um Kombination aus mindestens zwei separat gespeicherten, 256 Bit oder 32 zeichenlangen zufälligen Zeichenfolgen, die kryptografsch erzeugt werden und auf eine bestimmte Weise zusammengesetzt werden müssen。Nähere Informationen hierzu发现Sie在unseremtechnischen白皮书．

在德国基础设施上的死亡Kunden-Identitätsanbieters bzw。von LastPass gespeicherten Schlüsselfragmente。Die Fragmente waren außerdem nicht Teil der kopierten Backups mit kunden - vault。Wenn Sie die Verbundanmeldungsdienste nutzen, müssen Sie daher keine weiteren Maßnahmen ergreifen。

wicichtig: Falls Sie als lastpas雷竞技没用真名能提现吗s - commerce - kunde nicht von der Verbundanmeldung and den oben beschriebenen master - password - standardeinstellungen Gebrauch machen, wäre die Anzahl der Versuche, bis jemand das master - password - erraten könnte, wesentlich geringer。In diesem Fall sollten Sie zur Minimierung des Risikos als zusätzliche Sicherheitsmaßnahme erwägen, die Passwörter für Ihre gespeicherten Websites zu ändern。

Von LastPass ergriffene Maßnahmen

Als Reaktion auf den Sicherheitsvorfall vom August 2022 unterbanden wir jeden weiteren Zugriff auf die lastpassentwicklungsumgebung, indem wir diese Umgebung außer Betrieb nahmen und eine komplett neue Umgebung aufbauten。Darüber hinaus ersetzten wir Computer, Prozesse und authentifizierungmechanical echanismen unseres Entwicklungsteams und erhöhten ihre Sicherheit weiter。

Zur leichteren Erkennung unbefugter Aktivitäten führten wir zusätzliche Protokollierungs- und Alarmierungsmechanismen ein, darunter eine zweite Verteidigungslinie in Form einer führenden externen EDR-Lösung(端点检测和响应)Zur Ergänzung unseres eigenen Teams。Wir arbeiten außerdem nach wie vor an der Umsetzung unserer Pläne, neue, dedizierte entwicklung - und production duktionsumgebungen für LastPass einzuführen。

我们的问候jüngsten我们的问候和问候möglicherweise我们的问候和问候regelmäßig我们的问候和问候Endgerätesicherheit在不确定的云中分析所有的信息，在denen es Hinweise auf verdächtige Aktivitäten gibt;führen weitere Schutzmechanismen in dieser Umgebung ein und analysieren alle darin enthtenen Daten, um zu ermitteln, worauf genau zugegriffen wurde。

Wir setzten uns bereits mit einer kleinen Teilgruppe (weniger als drei Prozent) unserer LastPass-雷竞技没用真名能提现吗Business-Kunden in verversung, um ihnen basierend auf ihrer spezifischen Kontokonfiguration bestimmte Maßnahmen zu empfehlen。Wenn Sie LastPass商雷竞技没用真名能提现吗业nutzen und bislang nicht von unkontaktiert wurden, müssen Sie derzeit keine weiteren Maßnahmenempfehlungen umsetzen。

Der Vorfall wild nach wie vor untersucht。Als besondere vorsichtsma ß namme setzten wir die zuständigen Strafverfolgungs- und Aufsichtsbehörden darüber in Kenntnis。Wir sind bestrebt, Sie weiterhin über unsere Erkenntnisse, die von unergriffenen Maßnahmen und die von Ihnen eventuell auszuführenden Schritte auf dem Laufenden zu halten。Währenddessen funktionieren unsere Dienste wie gewohnt, wobei wir nach wie vor mit erhöhter Alarmbereitschaft arbeiten。

Wir danken Ihnen für Ihre Unterstützung und Geduld, während Wir uns mit der Aufarbeitung dieses Vorfalls befassen。

卡里姆Toubba

CEO von LastPass

通知vom Mittwoch, 30号书房。2022年11月

Sehr geehrte lastpass -昆丁，Sehr geehrter lastpass -昆德，

im Sinne unseres Versprechens, stets transparent zu agieren, wollte ich Sie über einen sicherheits svorfall informieren, den unser Team derzeit untersucht。

Wir wurden vor Kurzem auf ungewöhnliche Aktivitäten in einem external Cloud-Speicherdienst aufmerksam, den sowohl LastPass als auch sein Partnerunternehmen转到nutzen。Daraufhin leiteten wir umgehend eine Untersuchung in die Wege。Wir beauftragten die führende IT-Sicherheitsfirma Mandiant und informierten die zuständigen Strafverfolgungsbehörden。

在此感谢你，在信息之路上的人，在2022年8月的世界之夜，在世界之城，在世界之城，在世界之城。零知识建筑大师信死Passwörter unserer Kunden jedoch zu jeder Zeit sicher verschlüsselt。

Wir arbeiten mit größter sorgfaldaran, das genaumares des Vorfalls zu eruieren and zu ermitteln, auf welche information konkret zugegriffen wurde。在der Zwischenzeit können wir bestätigen, dass die Produkte und Dienste von LastPass weiterhin einwandfrei funktionieren。Es gilt unsere übliche Empfehlung, die Best Practices für die Einrichtung und Konfiguration von LastPass zu beachten。Diese finden Sie hier [//www.cbolympics.com/2022/01/how-to-set-up-your-new-lastpass-account/]。

Als Reaktion auf diesen Vorfall weiten wir under anderem die Sicherheitsmaßnahmen und Überwachungskapazitäten in unserer gesamten Infrastruktur kontinuierlich aus, um weitere böswillige Aktivitäten zu erkennen und zu verhindern。

Vielen Dank für Ihre Geduld, während wir den Vorfall genau untersuchen。Wie üblich werden wir Sie über die aktuellen Entwicklungen auf dem Laufenden halten。

卡里姆Toubba

CEO von LastPass

更新vom 15。2022年9月

Geschatzte LastPass-Kunden,

我25岁。2022年8月setzten wir Sie über einen auf die LastPass-Entwicklungsumgebung beschränkten Sicherheitsvorfall in Kenntnis, bei dem ein Teil unseres Quellcodes sowie technische Daten abgegriffen wurden。修女möchte ich你是透明的罪恶über den Abschluss unserer Untersuchung informieren, welche die Sorgen unserer private和Firmenkunden aus dem Weg räumen soll。

Wir haben die Prüfung und die forensische Untersuchung in Zusammenarbeit mit Mandiant abgeschlossen。死在外面，死在这里Aktivitäten 2022年8月，在森林中死去beschränkten。在控制下的情况Aktivitäten在控制下的情况。我的祖国，我的祖国，我的祖国，我的祖国Darüber hinaus können wir bestätigen, dass es keine Hinweise darauf gibt, dass unbefugte Personen im Zuge dieses Vorfalls Zugriff auf Kundendaten oder verschlüsselte password - vault erlangten。

Unsere Untersuchung ergab, dass sich der kriminelle Akteur über das kommittierte Endgerät eines Softwareentwicklers Zugriff auf die entwicklunsumgebung verschaffte。Während die Methode, mit der das Endgerät ursprünglich kompromittiert wurde, nicht bekannist, wissen wir, dass sich der kriminelle Akteur über seinen dauerhaften Zugang als der Entwickler ausgab, nachdem dieser sich mittels multifakator - authentifizierung erfolgreich authentisiert hatte。

Der kriminelle Akteur erlangte Zugriff auf die entwicklunsumgebung。Unser系统设计和unsere控制机制verhinderten jedoch einen Zugriff auf Kundendaten oder verschlüsselte密码金库。

Zunächst einmal ist die LastPass-Entwicklungsumgebung physisch von der Produktionsumgebung getrent;es gibt keine direkte Verbindung。Zweitens enthält die entwicklunsumgebung keine Kundendaten oder verschlüsselten vault, und drittens hat LastPass keinen Zugriff auf die Master-Passwörter unserer Kunden。Gemäß unserem Zero-Knowledge-Sicherheitsmodell ist ist mit Ausnahme des Vault-Besitzers niemandem möglich, Vault-Daten ohne master - password - worwort zu entschlüsseln。

祖尔Überprüfung der Integrität unseres Codes nahmen wir eine分析unseres Quellcodes和unserer productionsbuild vor。网址:können bestätigen，德国德语网址:gefälschten oder bösartigen Code einzuschleusen。LastPass-Entwickler sinind night in der lagage, Quellcode von der entwicklung - in die producduktionsumgebung zu pushen。独立的建立-释放-团队的自由和自由的前锋Codeüberprüfungs-，测试和验证。

Im Rahmen unserer Risikomanagementstrategie taten wir uns außerdem mit einem führenden Cybersicherheitsunternehmen zusammen, um die Schutzmaßnahmen für unseren vorhandenen Quellcode weiter zu verbessern。大足zählen SSDLC-Prozesse(安全软件开发生命周期)，威胁建模，schwachstellenmanagement和bug赏金计划。

Des Weiteren führten wir verbesserte Sicherheitsmaßnahmen wie zusätzliche kontrolen von Endgeräten und zusätzliches监控der Endgerätesicherheit ein, und wir implementierten sowohl in der entwicklunals auch in der producktionsumgebung weitere威胁-情报- funktionen sowie verbesserte Technologien zur Erkennung und Prävention von Risiken。

我是那么的勇敢möglich über在我的世界里，我是那么的勇敢和勇敢bekräftigen。Wir wissen, dass Sicherheitsvorfälle egal welcher Art Anlass zur Sorge geben。Wir wollen Ihnen daher versichern, dass Ihre persönlichen Daten和Passwörter bei uns in sicheren Händen信德。

Vielen Dank für Ihre Treue und Unterstützung。

卡里姆Toubba

CEO von LastPass

Ursprünglicher Beitrag vom 25。2022年8月

爱LastPass-Kunden,

ich möchte Sie über einen volorgang informieren， über den die Privat und Geschäftskunden von LastPass unserer Meinung nach Bescheid wissen sollten。

Vor zwei Wochen haben wir in Teilen der LastPass-Entwicklungsumgebung ungewöhnliche Aktivitäten festgestellt。密码库密码库密码库密码库密码库密码库密码库verschlüsselte密码库密码库。

Wie wiir feststellen mussten, haben sich Unbefugte über in einzelnes kompromittiertes entwicklerkon Zugang zu Teilen der LastPass- entwicklergsumgebung verschafft and Abschnitte des Quellcodes sowie einige interne technische information von LastPass gesthlen。不愉快的夜晚beeinträchtigt。

Als Reaktion auf den Vorfall haben wir Maßnahmen zur Risiko- und Schadensbegrenzung getroffen und ein führendes Unternehmen für Cybersicherheit und IT-Forensik beauftragt。不知道在控制下的情况zusätzliche在控制下的情况zusätzliche在控制下的情况zusätzliche。Weitere Anzeichen für unbefugte Aktivitäten können wir niht feststellen。

Ausgehend von unseren Erkenntnissen und den bereits erriffenen Maßnahmen prüfen wir weitere Methoden zum Schutz und zur Stärkung unserer Systeme。Nachstehend发现你的安得很好drängendsten Fragen, die Sie vermutlich gerade bezüglich der Situation haben。让我们看看劳芬登的秘密吧。

Vielen Dank für Ihre Geduld, Ihr Verständnis和Ihre Unterstützung。

卡里姆Toubba

CEO von LastPass

常见问题解答

1. Wurde mein主密码oder das主密码meiner Benutzer kompromittiert?

不行。国际卫生条例总密码，wurde bei diesem Vorfall niht komprommittier。Ihr主密码ist bei uns wedding gespeichert noch bekannt。Wir verwenden dem Branchenstandard entsprechend eine Zero-Knowledge-Architektur, die gewährleistet, dass LastPass niemals die Master-Passwörter unserer Kunden erfahren oder darauf zugreifen kann。信息与技术之零知识之启示在这里．

2. Wurden irgendwelche Daten in meinem Vault oder in den Vault meiner Benutzer komprommittiert ?

不行。diesel Vorfall beschränkte sich auf unsere Entwicklungsumgebung。北不seren Untersuchungen konnten wir keine Hinweise auf einen unbefugten Zugriff auf verschlüsselte Vault-Daten finden。Unser零知识模型gewährleistet, dass entschlüsselte Vault-Daten nur für den jeweiligen Benutzer zugänglich信德。

3. 那是什么意思?

不行。unserer Untersuchungen lieferten keine Hinweise auf einen unbefugten Zugriff auf Kundendaten在unserer Entwicklungsumgebung。

4. 是kann ich tun, um mich und meine Vault-Daten zu schützen?

Derzeit gibt es keine Handlungsempfehlungen für unsere Benutzer oder Administratoren。Es gilt lediglich unsere übliche Empfehlung, die Best Practices für die Einrichtung und Konfiguration von LastPass zu beachten。Diese找到Sie unter //www.cbolympics.com/2022/01/how-to-set-up-your-new-lastpass-account/

5. 我发现我的weitere信息?

洛芬登的透明之处。