Das Unternehmen LastPass - das buchstäblich Sicherheit verkauft, indem es die Passwörter von Dutzenden Millionen Menschen hütet - hat zugegeben, dass Hacker Nutzerdaten gestohlen haben. Nicht direkt von seinen Servern, sondern über Klue, eine Marktforschungsfirma, die LastPass als Technologiepartner nutzte. Klue entdeckte den Einbruch am 12. Juni 2026.

Gestohlen wurden Namen, Telefonnummern, E-Mail-Adressen, Postadressen sowie Aufzeichnungen des Kundensupports und vertriebsbezogene Daten. LastPass betont, dass die Passwort-Tresore selbst sicher und verschlüsselt blieben. Das ist ein wichtiger Unterschied - aber Support-Tickets enthielten in der Vergangenheit auch sensible Dinge: Teile von Zugangsdaten, sogar Bilder von Ausweisdokumenten, die Nutzer schicken, wenn sie um Hilfe bitten.

Die genaue Zahl der betroffenen Nutzer wurde nicht veröffentlicht. LastPass hat über 33 Millionen Nutzer und rund 1,6 Millionen zahlende Abonnenten. Klues Geschäftsführer Jason Smith erklärte, das Unternehmen habe „die Hacker am 12. Juni in seinen Systemen identifiziert“, während LastPass vorerst einen weitergehenden Kommentar ablehnt.

Das Szenario hat ein unangenehmes Echo. 2022 erlitt LastPass einen weit schwereren Schlag - damals wurde die gesamte Datenbank verschlüsselter Tresore gestohlen, und schwächere Master-Passwörter wurden später offline geknackt, was zu Kryptowährungsdiebstahl führte. Die wiederkehrende Lehre ist immer dieselbe: Die Sicherheit eines Unternehmens ist nur so viel wert wie das schwächste Glied in der Kette seiner Partner. Wenn man jemandem seine Passwörter anvertraut, dessen ganzes Geschäft genau das ist, erwartet man zumindest, dass er darauf achtet, wem er Zugang gewährt.