Nach einem Datenleck vor mehreren Monaten enthüllt der Passwortmanager LastPass, dass sich der Hacker möglicherweise Zugang zu einigen sensiblen Kundeninformationen verschafft hat. Daher sollten Personen, die über diesen Dienst „Seed Phrases“ von Kryptowährungs-Wallets gespeichert hätten, gewisse Vorsichtsmaßnahmen ergreifen.
Der Passwort-Manager LastPass wurde Opfer eines Hacks
Am vergangenen Donnerstag informierte das Team des Passwortmanagers LastPass, dass ein Hacker Zugang zu sensiblen Daten hatte, die durch ein Leck am 25. August kompromittiert worden waren:
“ Auf der Grundlage unserer bisherigen Ermittlungen haben wir erfahren, dass ein unbekannter böswilliger Akteur auf eine cloudbasierte Speicherumgebung zugegriffen hat, indem er die Informationen aus dem Vorfall nutzte, den wir zuvor im August 2022 offengelegt hatten. „
Ein Passwortmanager ermöglicht es, wie der Name schon sagt, alle seine Passwörter zu speichern und auf einfache Weise neue, hochsichere Passwörter zu generieren. Die Datenbank von LastPass, die Opfer eines Hacks wurde, enthält die persönlichen Informationen der Kunden, die in deren Tresoren gespeichert sind. Da der Tresor alle möglichen Daten wie Identitätsdokumente oder private Schlüssel für Kryptowährungsbörsen enthalten kann, sind diese Daten nun anfällig für Lecks.
Da die Safes mit Passwörtern gesichert sind, die nicht von LastPass gespeichert werden, weist das Unternehmen darauf hin, dass die darin enthaltenen Daten trotz allem vermeintlich sicher bleiben, solange das Passwort nicht gefunden wird.
Ein Investor ist jedoch der Meinung, dass LastPass es versäumen würde, das ganze Ausmaß der Situation offenzulegen, da vier seiner sekundären Wallets, deren „Seed-Phrase“ er in der App gespeichert hatte, geleert wurden:
I think the situation at @LastPass may be worse than they are letting on.
Am Sonntag, den 18., wurden vier meiner Geldbörsen kompromittiert. Die Verluste sind nicht signifikant.
Ihre Samen wurden verschlüsselt in meinem Lastpass-Gewölbe hinter einem 16-Zeichen-Passwort aufbewahrt, das alle Zeichentypen verwendet.
– path.eth 🛡️ (@Cryptopathic) December 23, 2022
Während das Opfer beruhigt, dass die Verluste nicht signifikant seien, besteht er darauf, dass das Passwort für seinen Tresor sonst nirgends verwendet wurde und dass seine Komplexität die Möglichkeit eines Knackens durch „Brute-Force-Angriffe“ ausschließt.
Was tun, wenn Sie LastPass verwenden?
Angesichts der sensiblen Daten, die sich hinter all diesen Passwörtern verbergen können, sollten Sie sich nicht allein auf die öffentliche Kommunikation von LastPass verlassen.
Wenn Sie Seedphrasen von Krypto-Wallets bei diesem Dienst speichern, wäre es klug, all diese Gelder vorsichtshalber an eine Adresse zu überweisen, die auf einem anderen privaten Schlüssel basiert.
Das Ändern des Hauptpassworts für den Zugriff auf den Tresor wird nicht ausreichen, da das aktuelle Passwort auf der gestohlenen Datenbank das gleiche bleibt und der oder die Hacker trotzdem auf die darauf gespeicherten Informationen zugreifen können.
Es wäre daher ratsam, den Passwortmanager zu wechseln, aber vor allem alle Passwörter für alle Ihre als „sensibel“ eingestuften Konten zurückzusetzen. Bei Zwei-Faktor-Authentifizierungen (2FA), die auf der App gehostet werden, sollten Sie diese ebenfalls zurücksetzen, um einen anderen Dienst zu nutzen.
Wenn dieses Datenleck schön ist, ist es viel schlimmer als LastPass behauptet, aber man muss auch bedenken, dass eventuelle Kreditkarten oder Identitätsdokumente, die in diesen Tresoren gespeichert waren, ebenfalls in Gefahr sein könnten.
