Angesichts der Vielzahl an Zugangsdaten, über welche man heutzutage verfügt, greifen die meisten Computer-Nutzer zu einem Passwortmanager. Viele Anbieter derartiger Apps ermöglichen die Synchronisierung der entsprechenden Datenbanken zwischen Notebooks, Desktops, Smartphones und Tablets mithilfe eines Cloud-Dienstes. Das ist zwar komfortabel, birgt allerdings auch Gefahren, wie im November 2022 der Angriff auf LastPass zeigte (siehe ). Hacker erbeuteten die Kennworttresore von über 25 Millionen Nutzern. Den Angaben des Unternehmens zufolge sind diese durch starke Verschlüsselung geschützt – Teile des digitalen Diebesguts wurden und werden aber offenbar erfolgreich geknackt.


Brute-Force-Attacken auf erbeutete LastPass-Tresore
Entgegen den damaligen Äußerungen von LastPass-CEO Karim Toubba, wonach die Passwörter der Nutzer nicht in Gefahr seien, gelangen den Cyberkriminellen wohl erfolgreiche Brute-Force-Attacken auf die erbeuteten Datenbanken. Das berichtet Brian Krebs in einem Beitrag auf seinem Blog „KrebsonSecurity“. Taylor Monahan von MetaMask, einem Krypto-Wallet für Ethereum, und andere Experten untersuchten dem Sicherheitsforscher zufolge in den vergangenen Monaten eine ganze Reihe von Vorfällen, bei denen über 150 Kunden digitale Guthaben in Höhe von zusammen mehr als 35 Millionen US-Dollar entwendet wurden.

Ethereum-Wallets im Visier der Cyberkriminellen
Alle von Monahan identifizierten Opfer hatten LastPass genutzt, um ihren privaten Schlüssel zu speichern. Die Cyberkriminellen waren daher mit an Sicherheit grenzender Wahrscheinlichkeit in der Lage, die Passwort-Datenbanken zu entschlüsseln und so an die Seed Phrases zu gelangen. Damit lösten sie dann Transaktionen aus und schickten das fremde Geld an eigene Krypto-Wallets. Die genaue Vorgehensweise beschreibt Brian Krebs in seinem Beitrag. LastPass mache es Cyberkriminellen vergleichsweise einfach, die digitalen Tresore zu knacken, zitiert er in seinem Beitrag den Sicherheitsexperten Wladimir Palant. Das Unternehmen halte sich nämlich nicht an einschlägige Empfehlungen im Hinblick auf einen bestimmten Aspekt gängiger Verschlüsselungstechniken. Denkbar sei allerdings auch, dass die bisherigen Opfer zu kurze oder nicht hinreichend komplexe Master-Passwörter für ihre Datenbanken genutzt hätten.

LastPass-Nutzer sollten alle Zugangsdaten ändern
Die LastPass-Hacker werden sich aller Voraussicht nach nicht auf Betrügereien im Zusammenhang mit Krypto-Wallets beschränken, sondern auch andere Ziele ins Visier nehmen. Alle Nutzer des populären Passwortmanagers sollten daher sämtliche Zugangsdaten, welche sie damit verwalten, so schnell wie möglich ändern. Dabei ist darauf zu achten, sichere Kennwörter zu verwenden und diese niemals mehrfach für verschiedene Dienste einzusetzen. LastPass hat sich zu der aktuellen Entwicklung bislang nicht öffentlich geäußert.