Lastpass: Zahlreiche Passwörter in Besitz von Hackern

Im Dezember 2022 wurde bekannt, dass es beim beliebten Passwortmanager Lastpass zu einen Datendiebstahl gekommen ist. Über einen vom Unternehmen genutzten Clouddienst konnten Unbekannte damals Nutzerdaten erbeuten - darunter befanden sich auch die "Tresore" genannten Sammlungen an Passwörtern, die ihrerseits mit einem Masterkennwort geschützt sein sollten.

Diese Masterpasswörter sollen nun geknackt worden sein, wie das auf IT-Security spezialisierte Portal KrebsonSecurity berichtet. Zwar seien diese per 256-Bit-AES verschlüsselt, durch den Offline-Zugriff konnten diese jedoch per Bruteforce-Methode gewissermaßen mit roher Gewalt erraten werden.

In vielen Fällen lag im Lastpass-Tresor der sogenannte "Seed Phrase", also ein privater Schlüssel für Krypto-Wallets. Wer Zugriff auf diesen Seed Phrase hat, kann auch auf sämtliche Kryptowährungen und -investitionen des jeweiligen Opfers zugreifen. Durch den Lastpass-Datendiebstahl konnten so mehr als 35 Millionen US-Dollar in diversen Kryptowährungen gestohlen werden, wie KrebsonSecurity weiter ausführt.

Lastpass selbst will mit Hinblick auf die noch laufenden Untersuchungen für den Moment keine neuen Auskünfte zum Datenleck geben. Wie der Sicherheitsbericht jedoch erklärt, haben die Entwickler nicht nur aufgrund der Unaufmersamkeit beim ursprünglichen Diebstahl Schuld an der Problematik: So habe der Passwortmanager sich nur bedingt an die OWASP genannten Empfehlungen gehalten, die beim Generieren von Passwörtern beachtet werden sollten, um diese möglichst einbruchssicher zu gestalten.