Хакери су крали милионе долара у криптовалути, наизглед након кршења ЛастПасс-а. Ево шта треба да знате.
Једва да прође недеља а да се на насловницама не појави вест о упаду података. Праве последице су наизглед ретке, а успешни напади толико чести да је готово примамљиво игнорисати их и наставити као и нормално. Али кршење података ЛастПасс-а из 2022. довело је до тога да су криминалци приступили читавим трезорима лозинки, што је довело до низа све неуверљивијих одбијања од стране компаније.
Сада се чини да је ЛастПасс хак навео сајбер криминалце да украду преко 35 милиона долара у криптовалутама.
Шта се догодило приликом кршења података ЛастПасс 2022?
Ако сте свесни потребе да заштитите своје онлајн налоге, потребан вам је менаџер лозинки. Уместо да сами памтите јаке лозинке или поново користите исту лозинку за све (што саветујемо против), менаџер лозинки генерише акредитиве за пријаву за вас и чува их у шифрованој мрежи трезор.
Са добрим менаџером лозинки, можете откључати свој трезор помоћу главне лозинке – омогућавајући менаџеру лозинки да користи скуп акредитива који је специфичан за локацију да би вас пријавио.
Када почнете да се ослањате на менаџера лозинки, поверавате му своју е-пошту, своје онлајн банкарство, шему награђивања у продавници и да, свој крипто новчаник.
Хакери су провалили ЛастПасс у августу 2022, и упркос поновљеним уверавањима компаније током неколико месеци, ЛастПасс је у децембру 2022. признао да су лични подаци корисника заједно са шифрованим трезорима лозинки били украден. Отприлике у то време, МУО је почео да прима е-поруке од ЛастПасс купаца који тврде криминалци су активно користили своје акредитиве.
Упркос спекулацијама на мрежи и непоткрепљеним извештајима да су криминалци успели да провале у преузете трезоре лозинки, ЛастПасс је наставио да умирује купце са изјавама да ће бити потребни милиони година да се провали главна лозинка.
Слично ранијим изјавама из ЛастПасс-а, сада се испоставља да ово можда није сасвим тачно и да је траг сумњиве трансакције указују на доказе да се подаци узети из ЛастПасс трезора користе за крађу дигиталних података средства.
Како криминалци користе украдене ЛастПасс акредитиве
Да бисте се пријавили на свој банковни рачун, обично вам је потребно више потврде аутентичности од једноставне лозинке. Обично би ваша банка од вас захтевала да користите наменску апликацију, СМС верификацију или неки други метод вишефакторска аутентификација.
Ово није истина крипто новчаници, обично обезбеђени помоћу сеед фразе од 12 или више речи које вам дају потпун и неограничен приступ крипто средствима, приватним кључевима и трансакцијама. Наоружан ничим осим овим низом речи, нападач може брзо и лако да извуче ваша средства у етар.
Али дуга серија насумичних речи може бити једнако тешка за памћење као и посебно лукаву лозинку, а многи људи их чувају у својим трезорима менаџера лозинки. И као Тхе Верге извештаји, то је одлична вест за хакере, који су изгледа украли милионе долара у крипто.
Ник Бакс, директор аналитике у Унципхеред-у, прегледао је огромну количину података о крађи криптовалута које су ископали Тејлор Монахан из Метамаска и други истраживачи. У септембру 2023. рекао је КребсонСецурити да су криминалци преместили крипто „са више жртава на исте блокчејн адресе, што је омогућило да се те жртве снажно повежу“.
Након што је идентификовао и интервјуисао жртве, закључио је да је једини заједнички фактор то што су користили ЛастПасс за чување својих крипто сеед фраза.
Бак сада позива све пријатеље и породицу који користе ЛастПасс да промене све своје лозинке и мигрирају било коју криптовалуту која је можда била изложена.
Криминалци су имали довољно времена да користе украдене кључеве за шифровање да отворе украдене трезоре лозинки.
Иако има смисла да би лопови прво циљали лако преносива крипто средства, такође је вероватно да су већ открили све ваше сачуване ЛастПасс лозинке. Немају временских ограничења и на крају ће доћи до мање вредних ресурса.
Иако не могу директно да циљају налоге е-поште, ПаиПал новчанике или банке, ова имовина се може спаковати и продати другим криминалним трећим лицима.
Ако је нека од лозинки ускладиштених у ЛастПасс трезору пре 2022. године још увек у употреби, требало би да је промените одмах.