Passwortmanager: LastPass-Hacker scheinen Kennworttresore zu knacken
Cyberkriminelle haben vergangenes Jahr LastPass-Kennworttresore kopiert. Nun scheinen sie diese zu knacken und Krypto-Wallets leerzuräumen.
(Bild: peterschreiber.media/Shutterstock.com)
Im vergangenen Jahr konnten Cyberkriminelle Zugriff auf Cloudsysteme eines Drittanbieters erlangen und darüber auf LastPass-Kundendaten zugreifen – darunter die Passworttresore. Offenbar knacken die Angreifer jetzt solche Passworttresore, um Zugriff auf bestimmte Konten zu erlangen.
Wie Brian Krebs berichtet, hat die Produktmanagerin Taylor Monahan von MetaMask, eine populäre Ethereum-Krypto-Wallet, zusammen mit anderen IT-Forschern rund 150 Vorfälle untersucht, bei denen Kriminelle mehr als 35 Millionen US-Dollar in Kryptowährungen geraubt haben. Dabei hätten sie deutliche Hinweise gefunden, dass geknackte LastPass-Kennworttresore das wohl ermöglichten.
LastPass-Kennworttresore: Passwörter verschlüsselt, URLs jedoch nicht
LastPass hatte kurz vor Weihnachten vergangenen Jahres erklärt, dass die URLs zwar unverschlüsselt, die Nutzernamen und Kennwörter jedoch mit 256-Bit-AES gesichert seien. Die offline verfügbaren Passwort-Safes ermöglichen jedoch ungebremste Brute-Force-Attacken. Da LastPass sich jedoch nicht an die Empfehlungen von OWASP gehalten und nur rund ein Drittel der idealerweise zu nutzenden Wiederholungen der Password-Based Derivation Function 2 (PBKDF2) verwendet hat, erleichtert der Hersteller das Knacken des Masterpassworts etwas. Möglicherweise haben sich Nutzer aber auch nicht an die LastPass-Empfehlung gehalten, keine zu kurzen und leicht erratbaren Passwörter zu verwenden. Zudem empfahl das Unternehmen Nutzern, die nicht die Federated Login Services einsetzen, die mit LastPass gespeicherten Passwörter zu ändern.
Monahan zufolge waren alle von ihr betreuten Betroffenen Langzeit-Krypto-Investoren mit IT-Sicherheitsbewusstsein. Davon habe niemand Angriffe bemerkt, mit denen solche Krypto-Raubzüge üblicherweise anfangen, wie die Kompromittierung der E-Mail-Konten oder des Smartphones. Es handele sich bei den Opfern um Angestellte von renommierten Krypto-Organisationen, Venture-Capital-Unternehmen und solchen, die DeFi-Protokolle (Dezentrales Finanzwesen) mitentwickelt haben sowie Verträge bereitstellen und sogar Knotenpunkte betreiben.
Seed Phrase als Universalschlüssel
Allen Opfern gemein sei jedoch, dass sie zuvor LastPass genutzt hätten, um ihre "Seed Phrase", den privaten Schlüssel zum Zugriff auf ihre Krypto-Anlagen, zu speichern. Mit der Seed Phrase kann jeder auf die Kryptowährung-Besitztümer, die mit dem Schlüssel verbunden sind, zugreifen und diese an beliebige Ziele verschieben. Daher nutzen sicherheitsbewusste Krypto-Anleger entweder Passwort-Manager zur sicheren Ablage oder sogar verschlüsselte Hardware-Geräte.
Der Analyseabteilungsleiter von Unciphered, Nick Bax, erläuterte gegenüber Krebs, dass die Seed Phrases sprichwörtlich Geld seien. Sofern jemand sie in eine Krypto-Wallet kopiert, habe die- oder derjenige Zugriff auf alle verknüpften Konten. Er komme mit seiner eigenen Analyse zu denselben Schlussfolgerungen wie Mohan.
Die IT-Forscher haben demnach Erkenntnisse über die frappierenden Ähnlichkeiten in der Art und Weise veröffentlicht, wie die Gelder der Opfer gestohlen und über bestimmte Kryptowährungsbörsen gewaschen wurden. Sie fanden auch heraus, dass die Angreifer die Opfer häufig in Gruppen zusammenfassten, indem sie ihre Kryptowährungen an dieselbe Krypto-Wallet schickten.
LastPass hat sich mit Berufung auf noch laufende Untersuchungen zu den Vorfällen aus dem vergangenen Jahr nicht gegenüber Krebs zu diesen Vorkommnissen geäußert. LastPass-Nutzern ist mit dem Hinblick auf die aktuelle Gefahr nachdrücklich zu empfehlen, die damit gesicherten Passwörter für alle verwalteten Konten zu erneuern.
(dmk)
