Naruszenie bezpieczeństwa LastPass: hakerzy zgarnęli 4.4 miliona dolarów w wyniku napadu na kryptowalutę

Kamso Oguejiofor-Abugu
Opublikowany: Listopad 1, 2023

LastPass, popularny menedżer haseł, stoi pod lupą po kradzieży kryptowaluty o wartości 4.4 miliona dolarów. Aktywa rzekomo przejęto 25 października z powodu zhakowanych fraz początkowych przechowywanych w systemie LastPass.

Według badacza blockchaina, ZachXBT, złośliwa aktywność została powiązana z oszałamiającą liczbą 80 unikalnych adresów należących do ponad 25 indywidualnych ofiar.

„Tylko 25 października 2023 r. w wyniku włamania do LastPass ponad 4.4 ofiar wyciekło kolejne ~25 mln dolarów” – napisał ZachXBT na X, dawniej Twitterze. „Nie mogę tego wystarczająco podkreślić, jeśli uważasz, że kiedykolwiek zapisałeś frazę lub klucze początkowe w LastPass, natychmiast migruj swoje zasoby kryptograficzne.”

Ten incydent można prześledzić wstecz do luki w zabezpieczeniach z grudnia 2022 r., kiedy LastPass poinformował użytkowników o nieautoryzowanym wejściu do zewnętrznej usługi przechowywania w chmurze, z której korzysta. Podczas tego naruszenia podmiotowi zagrażającemu udało się zduplikować dane skarbca klienta z zaszyfrowanego magazynu. Dało im to dostęp do dużej ilości danych, w tym nazw użytkowników stron internetowych, haseł, a nawet bezpiecznych notatek.

Karim Toubba, dyrektor generalny LastPass, stwierdził, że chociaż dane mogły zostać skopiowane, faktyczne odszyfrowanie kopii w celu uzyskania użytecznych informacji byłoby „niezwykle trudne”. Przypisał to solidnym metodom szyfrowania i mieszania stosowanym przez firmę.

Jednak wbrew tym zapewnieniom pojawiło się wiele alarmujących doniesień. Warto zauważyć, że twórca MetaMask, Taylor Monahan, ujawnił unikalny podpis łączący kradzież kryptowaluty o wartości ponad 35 milionów dolarów w okresie od grudnia 2022 r. do kwietnia 2023 r. z tymi samymi podmiotami zagrażającymi zaangażowanymi w naruszenie LastPass.

„W tym momencie mogę również z całą pewnością stwierdzić, że w większości przypadków skompromitowane klucze zostały skradzione z LastPass” – napisał Monahan na X. „Liczba ofiar, które miały tylko określoną grupę nasion/kluczy, które zostały wyczerpane przechowywane w LastPass to po prostu zbyt wiele, aby je zignorować.

W świetle tych incydentów eksperci i badacze ds. bezpieczeństwa wzywają użytkowników LastPass, zwłaszcza tych, którzy mieli konta podczas naruszeń w 2022 r., do pilnego zresetowania wszystkich haseł i zachowania wzmożonej czujności.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.safetydetectives.com/news/lastpass-security-breach-hackers-swipe-4-4-million-in-crypto-heist/