Wichtige Punkte:
Im August 2022 kam es zu einem Cyberangriff auf den Passwortverwaltungsdienst LastPass, bei dem die verschlüsselten Zugangsdaten der Nutzer gestohlen wurden.
Durch den Einsatz von Brute-Force-Erraten kann der Angreifer möglicherweise die Website-Passwörter einiger LastPass-Benutzer entschlüsseln.
Zur Verschlüsselung der Tresore wird ein Master-Passwort verwendet, sodass ein Angreifer sie nicht lesen kann.
Die Organisation hat eine Untersuchung durchgeführt und festgestellt, dass der Angreifer dieses technische Wissen genutzt hat, um das Gerät eines anderen Mitarbeiters zu hacken, um Zugriffstoken auf Kundendaten zu stehlen, die in einem Cloud-Speichersystem gespeichert sind.
Im August 2022 drangen unbekannte Angreifer in die Server des Passwort-Managers Lastpass ein und stahlen Kundendaten. Dazu gehörten ihre IP-Adressen, von denen aus sie die Dienste der Passwort-Locker-Firma nutzten, ihre Passwörter, Benutzernamen, Firmennamen usw.
Der Tresor des Kunden wurde mit all seinen Informationen geklont, bestätigte Lastpass ebenfalls, teilte das Unternehmen in einer Erklärung vom 23. Dezember mit. Als Diebe Zugriff auf einige Informationen zu Quellcodes aus der Entwicklungsabteilung von Lastpass erhielten, kam es zum Datendiebstahl. Ein anderer Mitarbeiter wurde Opfer des Diebstahls von Quellcodes und konnte Passwörter und Schlüssel zum Öffnen der Cloud-basierten Speichervolumes von Lastpass erlangen.
Hinweis zum jüngsten Sicherheitsvorfall – Das LastPass-Blo#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) 23. Dezember 2022
Auch verschlüsselte Tresore einiger Kunden wurden gestohlen. Jeder Kunde, der den LastPass-Dienst nutzt, speichert seine Website-Passwörter in diesen Tresoren. Glücklicherweise verfügen die Tresore über ein Master-Passwort, das sie verschlüsselt und so verhindert, dass der Eindringling sie lesen kann.
Die Erklärung des Unternehmens unterstreicht, dass der Dienst hochmoderne Verschlüsselung verwendet, die es einem Angreifer unglaublich schwer macht, Tresordateien ohne das Hauptkennwort anzuzeigen.
„Diese verschlüsselten Felder bleiben mit 256-Bit-AES-Verschlüsselung gesichert und können nur mit einem einzigartigen Verschlüsselungsschlüssel entschlüsselt werden, der mithilfe unserer Zero-Knowledge-Architektur aus dem Master-Passwort jedes Benutzers abgeleitet wird. Zur Erinnerung: Das Master-Passwort ist LastPass nie bekannt und wird von LastPass weder gespeichert noch verwaltet.“
Trotzdem ist sich LastPass darüber im Klaren, dass ein Angreifer, wenn ein Benutzer ein schwaches Master-Passwort gewählt hat, dieses unter Umständen mit roher Gewalt erraten, den Tresor entschlüsseln und an alle Website-Passwörter des Benutzers gelangen kann.
Der LastPass-Angriff beweist, was Web3-Entwickler seit Jahren argumentieren: Die Anmeldung bei Blockchain-Wallets sollte den herkömmlichen Anmeldemechanismus mit Benutzername und Passwort ersetzen.
Wie Coincu berichtete, hat ConsenSys seine Datenschutzrichtlinie nach dem Uniswap aktualisiert. Infura sammelt die IP-Daten und die Ethereum-Wallet-Adresse des Benutzers, wenn dieser eine Transaktion sendet, wenn er Infura als Standard-RPC-Anbieter in der MetaMask-Wallet verwendet.
Dies macht die Community wütend, weil ihre Informationen offengelegt werden, und man kann sagen, dass die Dezentralisierung allmählich von MetaMask verschwindet. ConsenSys antwortete den Benutzern sofort, dass sie nur dann Daten sammeln, wenn Benutzer Transaktionen durchführen.
HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Anlage Ihre eigenen Recherchen durchzuführen.
Bleiben Sie mit uns über Neuigkeiten auf dem Laufenden: https://linktr.ee/coincu
Website: coincu.com
Harald
Coincu-Neuigkeiten