Bundesbehörden bestätigen Zusammenhang zwischen LastPass-Hack von 2022 und Cyberraub

 (krebsonsecurity.com)
1 Punkte von GN⁺ 2025-03-09 | 1 Kommentare | Auf WhatsApp teilen

  • LastPass-Hack im September 2023

    • KrebsOnSecurity berichtete im September 2023, dass das LastPass-Master-Passwort gestohlen wurde und dies bei mehreren Opfern zu Cyberdiebstählen in Höhe von Hunderttausenden Dollar führte.
    • US-Bundesermittler kamen bei der Untersuchung eines Krypto-Diebstahls im Umfang von 150 Millionen US-Dollar vom 30. Januar 2024 zu demselben Schluss.

  • Fall des Krypto-Diebstahls

    • Am 6. März 2024 gab die Bundesstaatsanwaltschaft für den Northern District of California bekannt, nach dem Cyberdiebstahl im Umfang von 150 Millionen US-Dollar Kryptowährungen im Wert von rund 24 Millionen US-Dollar sichergestellt zu haben.
    • Bei dem Opfer soll es sich um den Ripple-Mitgründer Chris Larsen handeln.

  • Ermittlungsergebnisse der Bundesbehörden

    • Der US Secret Service und das FBI kamen bei den mit dem LastPass-Hack verbundenen Diebstählen zum selben Ergebnis.
    • Sie bestätigten, dass die gestohlenen Daten und Passwörter genutzt wurden, um sich unrechtmäßig über die Online-Passwortmanager-Konten der Opfer Zugriff zu verschaffen und Kryptowährungen sowie weitere Daten zu entwenden.

  • Gemeinsame Merkmale der Opfer

    • Die Sicherheitsforscher Nick Bax und Taylor Monahan stellten fest, dass die Opfer keine typischen Angriffe wie auf E-Mail-Konten, Mobilfunkkonten oder SIM-Swapping erlebt hatten.
    • Alle Opfer hatten Krypto-Seed-Phrasen in den "Secure Notes" ihrer LastPass-Konten gespeichert.

  • Komplexes Diebstahlmuster

    • Die gestohlenen Gelder wurden rasch über mehrere Konten bei verschiedenen Krypto-Börsen verschoben.
    • Die Behörden gehen davon aus, dass dieses komplexe Diebstahlmuster durch die Zusammenarbeit mehrerer böswilliger Akteure zustande kam.

  • Reaktion von LastPass

    • LastPass erklärte, weder von Bundesermittlern noch aus anderen Quellen eindeutige Beweise dafür gesehen zu haben, dass die Diebstähle mit dem LastPass-Hack zusammenhängen.
    • Im August 2022 teilte LastPass mit, im Softwareentwicklungsumfeld ungewöhnliche Aktivitäten entdeckt zu haben und dass dabei Teile des Quellcodes sowie technische Informationen gestohlen wurden.
    • Im November 2022 informierte LastPass seine Kunden darüber, dass verschlüsselte Passwort-Tresore und personenbezogene Daten kompromittiert worden seien.

  • Einschätzung von Sicherheitsexperten

    • Viele Opfer nutzten Master-Passwörter mit geringer Komplexität, was darauf hindeutet, dass es sich wahrscheinlich um langjährige LastPass-Kunden handelte.
    • LastPass verlangte von neuen Nutzern komplexere Passwörter, scheint dies jedoch bei älteren Kunden nicht durchgesetzt zu haben.

  • Notwendigkeit stärkerer Sicherheitsmaßnahmen

    • Forscher argumentieren, LastPass hätte seinen Kunden zu Passwortänderungen raten sollen.
    • Trotz der ablehnenden Reaktion von LastPass betonen Sicherheitsforscher, dass zusätzliche Maßnahmen nötig seien, um weitere Hacks zu verhindern.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-09
Hacker-News-Kommentare
  • 1Password bekommt nicht genug Anerkennung dafür, dass alle Tresore mit einem zusätzlichen Secret Key verschlüsselt werden. Das kostet bei Benutzererfahrung und Supportaufwand, sorgt aber dafür, dass selbst bei einem Datenleck kein allzu großes Problem entsteht.
  • LastPass hat das Datenleck verharmlost und Daten wie den Notizbereich nicht ordentlich verschlüsselt. Das Unternehmen hat sich vor Verantwortung gedrückt, hätte aber verklagt werden sollen.
  • LastPass wusste, dass die Master-Passwörter der Nutzer nicht ausreichend sicher waren, hat aber nicht aktiv dagegen vorgegangen. Das ist unverzeihlich.
  • Wer LastPass nutzt, sollte zu vertrauenswürdigeren Optionen wie 1Password, Bitwarden oder KeePass wechseln und alle wichtigen Passwörter ändern.
  • Ich bin verwirrt darüber, wie der LastPass-Hack überhaupt zum Verlust von Passwörtern führen konnte. Ich dachte, es funktioniere ähnlich wie 1Password, und dann müsste das doch weiterhin sehr schwierig oder unmöglich sein. Kann jemand erklären, wie sich Passwortmanager oder speziell LastPass unterscheiden?
  • Bei 1Password ist der Entschlüsselungsschlüssel in zwei Teile aufgeteilt: das einzige Passwort des Nutzers + der Secret Key. Man braucht beides. Der Secret Key wird zufällig generiert und ist etwa 128 Bit lang. 1Password erzeugt ihn und gibt ihn an den Nutzer weiter, sieht ihn danach aber nie wieder. Selbst wenn ein Tresor gestohlen wird, müssten also sowohl das Passwort als auch der 128-Bit-Secret-Key geknackt werden, wodurch mindestens 128 Bit Sicherheit garantiert sind.
  • Worin unterscheidet sich LastPass also? Wurde der Secret Key ebenfalls gestohlen? Wurde der gestohlene Tresor Ziel weiterer Angriffe, um den Secret Key herauszuziehen? Verwendet LastPass keine ähnliche Struktur wie 1Password? Oder sollte man selbst mit 1Password davon ausgehen, dass es nicht sicher ist?
  • Seit der zweiten großen Sicherheitsverletzung im Jahr 2013 nutze ich LastPass nicht mehr. Auf Wikipedia sind insgesamt nur 3 Vorfälle aufgeführt, aber ich habe von 2010 bis heute mindestens 5 Berichte gesehen. Trotzdem habe ich in all der Zeit immer wieder Unternehmen gesehen, die LastPass einsetzen, und war jedes Mal erstaunt.
  • LastPass behauptet, es gebe keine Beweise, die beide Vorfälle miteinander verbinden. Aber es ist schwer zu glauben, dass Leute, die Sammlerstücke im Wert von mehreren Millionen Dollar lagern, ihre Passwörter nicht zumindest jährlich ändern.
  • Auch wenn Passwortrotation nicht mehr als Best Practice gilt, ist sie in diesem Fall immer noch eine vorsichtige Entscheidung.
  • Ich schaue auf mein lokales KeePassXC und bleibe ganz entspannt.
  • Uns wurde gesagt, wir sollten unsere Passwörter in der Cloud speichern, und es werde schon nichts passieren.
  • Die Zugangsdaten aller zu zentralisieren, ist immer noch die riskanteste Idee. Für Hacker mag es kurzfristig etwas Verlockenderes geben als kostenlose leistungssteigernde Mittel, aber nur kurz, und dann werden sie wieder versuchen, die Zugangsdaten aller zu stehlen.
  • Andere Ziele: die personenbezogenen Daten aller, Informationen über Freunde, Familie und Haustiere, Antworten auf Sicherheitsfragen, mobile IDs, PIN-Nummern, Kontonummern, Unterschriften, Fotos, Fingerabdrücke, Stimmmuster, Gesichts- und Netzhautscans, Gangbild, DNA, mitochondriale RNA.
  • Ich erinnere mich, dass bei den Anfängen von LastPass alle dachten, es sei schwach und nicht vertrauenswürdig. Pepperidge Farm erinnert sich auch.
  • Was machen sicherheitsbewusste Menschen eigentlich mit Passwörtern? Es scheint, als müsse man entweder überall dasselbe Passwort verwenden oder einen Passwortmanager nutzen. Aber ich habe immer Sorge, dass, wenn alle Passwörter an einem Ort liegen, im Fall einer Kompromittierung nicht nur eines, sondern alle betroffen sind.
  • Es fühlt sich an, als gäbe es bei vielen Lösungen einen Tausch gegen Bequemlichkeit. Man kann einen physischen Ordner voller Passwörter im Arbeitszimmer aufbewahren, aber es ist mühsam, jedes Mal nachzuschlagen und alles einzutippen, und für jeden mit physischem Zugang ein großes Risiko.