Neue Welle von Datenlecks: LastPass und Madison Square Garden betroffen
lastpass madison-square-garden biometrics
trending_up Trend: lastpass

Neue Welle von Datenlecks: LastPass und Madison Square Garden betroffen

calendar_month 25. Juni 2026

Zusammenfassung

Ende Juni 2026 kam es zu einer weiteren Reihe bedeutender Datenlecks, die die anhaltende Verwundbarkeit persönlicher und geschäftlicher Daten verdeutlichen. Zu den wichtigsten Vorfällen gehören die Offenlegung von Millionen Gesichtserkennungsdatensätzen und Besucherdossiers von Madison Square Garden (MSG) Entertainment sowie eine bestätigte Supply-Chain-Datenpanne beim Passwort-Manager-Anbieter LastPass über eine Drittanbieter-Plattform. Diese Vorfälle zeigen, dass Sicherheitsrisiken häufig über sekundäre Plattformen und biometrische Datenbanken entstehen und nicht über die Kerninfrastrukturen selbst.

Was ist passiert?

Ende Juni 2026 wurden zwei große Datenlecks und eine bemerkenswerte Community-Meldung bekannt:

  • Biometrisches MSG-Datenleck: Die Hackergruppe ShinyHunters veröffentlichte einen gestohlenen 45-GB-Datensatz von MSG Entertainment. Der Leak enthält Protokolle und biometrische Daten von bis zu 26 Millionen Besuchern sowie ein gezieltes Dossier über bekannte Datenschutzaktivisten, die die Überwachung von MSG kritisiert hatten.
  • LastPass-Supply-Chain-Breach: LastPass bestätigte den Zugriff auf Kundenbeziehungsdaten (Namen, E-Mails, Telefonnummern und Support-Tickets). Der Vorfall ereignete sich über einen Supply-Chain-Angriff auf Klue, eine Plattform für Marktanalysen. LastPass betonte, dass die Passwort-Tresore der Kunden absolut sicher sind.
  • Reddit-Community-Meldung: Im Subreddit r/SecurityCareerAdvice berichtete ein Nutzer über den Fund einer ungesicherten Datenbank mit Millionen Einträgen und bat um Rat für eine verantwortungsvolle Offenlegung und Bug-Bounty-Prozesse.

Warum es wichtig ist

Diese Vorfälle beleuchten verschiedene kritische Aspekte moderner Datenkompromittierung:

  1. Die Unveränderlichkeit von Biometrie: Im Gegensatz zu Passwörtern können biometrische Merkmale nicht geändert werden. Das Leck von Gesichtserkennungsdaten birgt langfristige Risiken für die Privatsphäre von Millionen Besuchern.
  2. Drittanbieter-Risiko (Lieferkette): Der LastPass-Vorfall zeigt, dass sichere Unternehmen durch Drittanbieter-Integrationen verwundbar bleiben. Ein CRM-Datenleck setzt Nutzer gezieltem Phishing aus.
  3. Überwachung von Kritikern: Die Erstellung von Dossiers über Datenschutzaktivisten durch das MSG-Sicherheitsmanagement offenbart einen besorgniserregenden Einsatz von Überwachungswerkzeugen zur Kritikerbeobachtung.

Beweise

Die Vorfälle sind dokumentiert und verifiziert:

  • MSG Darknet-Leak & Klagen: ShinyHunters veröffentlichten das 45-GB-Archiv auf ihrem Blog, was zu einer Sammelklage (Avalo v. MSG Entertainment) in New York führte.
  • LastPass-Stellungnahme: LastPass bestätigte die Kompromittierung der Klue-API-Token und den unbefugten Zugriff auf Salesforce-CRM-Daten offiziell.
  • Community-Aktivität: Der Reddit-Beitrag auf r/SecurityCareerAdvice beschreibt die Details der gefundenen ungesicherten Datenbank.

Analyse

Diese Sicherheitsvorfälle zeigen eine Schwerpunktverlagerung der Angreifer auf periphere Datenspeicher und biometrische Sammlungen. Während Unternehmen ihre primären Datenbanken härten, bleiben sekundäre Marketingplattformen (wie Klue) und interne Überwachungsdatenbanken (wie die Gesichtserkennungsprotokolle von MSG) leichtere Ziele. Der MSG-Vorfall wirft zudem erhebliche ethische und rechtliche Fragen zur massenhaften Speicherung biometrischer Daten ohne ausdrückliche Einwilligung auf. Er beweist, dass jede gesammelte Datenbank irgendwann zum Ziel wird – wobei Biometrie das höchste Risiko trägt.

Praktische Erkenntnisse

  • Für Endnutzer: LastPass-Kunden sollten mit vermehrtem Phishing rechnen und alle Nachrichten, die angeblich vom Anbieter stammen, genau prüfen. MSG-Besucher sollten auf Anzeichen von Identitätsdiebstahl achten.
  • Für Unternehmen: Organisationen müssen Drittanbieter-API-Berechtigungen und OAuth-Token (z. B. für CRM-Tools) regelmäßig prüfen und das Prinzip der minimalen Rechtevergabe (Least Privilege) anwenden.
  • Für Sicherheitsverantwortliche: Biometrische Daten sollten nicht dauerhaft oder unverschlüsselt gespeichert werden. Überwachungssysteme müssen strikt vom internen Firmennetzwerk isoliert sein.

Offene Fragen

  • Welche regulatorischen Schritte werden die Behörden gegen MSG Entertainment unter dem New York SHIELD Act oder der DSGVO/CCPA einleiten?
  • Wie können Passwort-Manager das Risikomanagement für Drittanbieter verbessern, um CRM-Expositionen künftig zu verhindern?
  • Werden die Sammelklagen zu neuen Präzedenzfällen für die kommerzielle Nutzung von Gesichtserkennungssoftware führen?

Quellen

  1. Yahoo News: Hackers leak facial recognition records tied to millions of Madison
  2. Mashable: LastPass data breach confirmed: everything we know so far
  3. Reddit: FOUND MILLION OF DATA LEAK. need advice on how to get a bounty