Hekerji so ukradli milijone dolarjev v kriptovaluti, očitno po vdoru v LastPass. Tukaj je tisto, kar morate vedeti.
Skoraj ne mine teden, da novice o vdoru podatkov ne pridejo na naslovnice. Resnične posledice so na videz redke, uspešni napadi pa tako pogosti, da je skoraj skušnjava, da bi jih ignorirali in nadaljevali kot običajno. Toda kršitev podatkov LastPass leta 2022 je povzročila, da so kriminalci dostopali do celotnih trezorjev gesel, kar je povzročilo vrsto vse bolj neverjetnih zavrnitev s strani podjetja.
Zdaj se zdi, da so kibernetski kriminalci zaradi vdora v LastPass ukradli več kot 35 milijonov dolarjev v kriptovalutah.
Kaj se je zgodilo pri vdoru podatkov LastPass leta 2022?
Če se zavedate, da morate varovati svoje spletne račune, potrebujete upravitelja gesel. Namesto da si sami zapomnite močna gesla ali ponovno uporabite isto geslo za vse (kar svetujemo proti), upravitelj gesel za vas ustvari poverilnice za prijavo in jih shrani v šifrirano spletno mesto trezor.
Z dobrim upraviteljem gesel lahko odklenete svoj trezor z glavnim geslom, kar upravitelju gesel omogoča uporabo nabora poverilnic, ki je specifičen za spletno mesto, da vas prijavi.
Ko se začnete zanašati na upravitelja gesel, mu zaupate svojo e-pošto, spletno bančništvo, shemo nagrajevanja trgovine in da, svojo kripto denarnico.
Hekerji so avgusta 2022 vdrli v LastPass in kljub večkratnim zagotovilom podjetja v več mesecih, je LastPass decembra 2022 priznal, da so bili osebni uporabniški podatki skupaj s šifriranimi trezorji gesel ukraden. Približno takrat je MUO začel prejemati e-poštna sporočila strank LastPass, ki so zahtevale kriminalci so aktivno uporabljali svoje poverilnice.
Kljub spletnim špekulacijam in neutemeljenim poročilom, da je kriminalcem uspelo vdreti v prenesene trezorje gesel, LastPass je še naprej pomirjal stranke z izjavami, da bi trajalo milijone let, da bi razbili glavno geslo.
Podobno kot prejšnje izjave LastPassa se zdaj kaže, da to morda ni povsem res, in sled sumljive transakcije kažejo na dokaze, da se podatki, vzeti iz trezorjev LastPass, uporabljajo za krajo digitalnega sredstev.
Kako kriminalci uporabljajo ukradene poverilnice LastPass
Za prijavo v svoj bančni račun običajno potrebujete več preverjanja pristnosti kot preprosto geslo. Običajno vaša banka od vas zahteva, da uporabite namensko aplikacijo, preverjanje prek SMS-a ali drugo metodo večfaktorsko avtentikacijo.
To ne drži za kripto denarnice, običajno zavarovane s semensko frazo 12 ali več besed, ki vam omogočajo popoln in neomejen dostop do kripto sredstev, zasebnih ključev in transakcij. Oborožen s samo temi besedami, lahko napadalec hitro in enostavno posrka vaša sredstva v eter.
Toda dolgo vrsto naključnih besed si je lahko prav tako težko zapomniti kot posebej zapleteno geslo, zato jih veliko ljudi shrani v svoje trezorje upravitelja gesel. In kot The Verge poročila, je to odlična novica za hekerje, za katere se zdi, da so ukradli milijone dolarjev v kripto.
Nick Bax, direktor analitike pri Unciphered, je pregledoval ogromno količino podatkov o kraji kriptovalut, ki so jih odkrili Taylor Monahan iz Metamaska in drugi raziskovalci. Septembra 2023, je povedal KrebsonSecurity da so kriminalci premaknili kripto "od več žrtev na iste naslove blockchain, kar je omogočilo močno povezavo teh žrtev."
Po identifikaciji in razgovoru z žrtvami je ugotovil, da je edini skupni dejavnik ta, da so uporabile LastPass za shranjevanje svojih fraz kripto semen.
Bax zdaj poziva vse prijatelje in družino, ki uporabljajo LastPass, naj spremenijo vsa svoja gesla in preselijo vse kriptovalute, ki so bile morda izpostavljene.
Kriminalci so imeli dovolj časa za uporabo ukradenih šifrirnih ključev za odpiranje trezorjev ukradenih gesel.
Čeprav je logično, da bi tatovi najprej ciljali na lahko prenosljiva kripto sredstva, je prav tako verjetno, da so že razkrili vsa vaša shranjena gesla LastPass. Niso časovno omejeni in bodo sčasoma prišli do manj vrednih virov.
Čeprav morda ne ciljajo neposredno na e-poštne račune, denarnice PayPal ali banke, se ta sredstva lahko pakirajo in prodajo drugim kriminalnim tretjim osebam.
Če je katero od gesel, shranjenih v trezorju LastPass pred letom 2022, še vedno v uporabi, ga takoj spremenite.
