Massiver Krypto-Diebstahl:
Fast alle Opfer waren LastPass-Nutzer

Dem Passwortmanager LastPass ist schlechte Presse nicht fremd, denn der Dienst war in Vergangenheit Gegenstand mehrerer Hacks - und fiel dabei auch durch Unwahrheiten auf. Nun gibt es neuen Ärger, da Last­Pass bei Krypto-Diebstählen eine Rolle gespielt haben soll.

Zahlreiche erfolgreiche Angriffe auf LastPass

Ein Dienst wie LastPass klingt überaus bequem und ist es auch, zumindest wenn er funktioniert. Und das bedeutet, dass die gespeicherten Zugangsdaten vor allem eines sein müssen: sicher. Hier hat LastPass allerdings eine alles andere als saubere Weste, denn der zum Bostoner Softwareunternehmen GoTo gehörende Dienst ist bereits mehrfach zum Opfer von Hacker-Angriffen geworden.

Zuletzt gab es im Dezember 2022 einen massiven Sicherheitsvorfall und dieser hat bis heute Folgen. Laut einem Bericht des bekannten Sicherheitsforschers Brian Krebs konnten offenbar damals erbeutete Passwort-Tresore geknackt werden und diese kamen bei eine Reihe von Krypto-Diebstählen mit sechsstelliger Schadenshöhe zum Einsatz.

Laut Krebs haben mehrere Forscher "eine höchst zuverlässige Reihe von Hinweisen" gefunden, wonach 150 Opfer von Kryptodiebstählen mit dem LastPass-Hack zusammenhängen. Die Schadenshöhe beläuft sich derzeit auf zusammengerechnet 35 Millionen Dollar.


Die Sicherheitsforscherin Taylor Monahan sagte, dass praktisch alle Opfer, mit denen sie zu tun hatte, langjährige Investoren in Kryptowährungen und gleichzeitig sicherheitsbewusste Personen waren. Sie betonte, dass es bei keinem Opfer zu einer ansonsten typischen Methode wie der Kompromittierung von Mail oder mobiler Konten kam.

Opfer waren IT-erfahren

"Das Opferprofil bleibt das Auffälligste", so Monahan. "Sie sind wirklich alle einigermaßen sicher. Außerdem sind sie tief in dieses Ökosystem integriert, darunter Angestellte angesehener Krypto-Organisationen, Risikokapitalgeber, Leute, die DeFi-Protokolle entwickelt haben, Verträge aufsetzen und komplette Nodes betreiben." Was sie verbindet, ist, dass sie zuvor LastPass verwendet haben, um die sogenannte Seed Phrase zu speichern - also im Wesentlichen den Zugangsschlüssel.

LastPass äußerte sich dazu ausweichend: "Der Vorfall vom letzten Jahr ist nach wie vor Gegenstand einer laufenden Untersuchung der Strafverfolgungsbehörden und auch Gegenstand eines anhängigen Rechtsstreits", so LastPass in einem Statement. "Seit dem Angriff auf LastPass im letzten Jahr sind wir mit den Strafverfolgungsbehörden in Kontakt geblieben und werden dies auch weiterhin tun."

Allerdings bestätigen auch andere Experten die Schlussfolgerungen von Monahan, darunter der Sicherheitsforscher Nick Bax, Leiter der Analyseabteilung beim Krypto-Wallet-Rettungsunternehmen Unciphered: "Ich bin mir sicher, dass es sich um ein echtes Problem handelt, und habe meine Freunde und Familienmitglieder, die LastPass nutzen, aufgefordert, alle ihre Passwörter zu ändern und alle Kryptowährungen, die möglicherweise offengelegt wurden, zu migrieren, obwohl ich genau weiß, wie mühsam das ist."

Download KeePass - Passwort-Sammlungs-Tool Download 1Password: Umfassender Passwort-Manager
Siehe auch: