Panašu, kad įsilaužėliai pavogė milijonus dolerių kriptovaliutų, atrodo, po LastPass pažeidimo. Štai ką reikia žinoti.
Beveik savaitė nepraeina, kad antraštės nepasirodytų naujienos apie duomenų pažeidimą. Tikros pasekmės iš pažiūros yra retos, o sėkmingi išpuoliai tokie dažni, kad beveik kyla pagunda jų nepaisyti ir tęsti kaip įprasta. Tačiau 2022 m. „LastPass“ duomenų pažeidimas parodė, kad nusikaltėliai galėjo pasiekti visas slaptažodžių saugyklas, todėl įmonė vis labiau nesutiko su atsisakymais.
Dabar atrodo, kad „LastPass“ įsilaužimas privertė kibernetinius nusikaltėlius pavogti daugiau nei 35 mln. USD kriptovaliutų.
Kas atsitiko per 2022 m. LastPass duomenų pažeidimą?
Jei žinote, kad reikia apsaugoti savo internetines paskyras, jums reikia slaptažodžių tvarkyklės. Užuot patys įsiminę stiprius slaptažodžius arba viskam naudodami tą patį slaptažodį (taip patariame prieš), slaptažodžių tvarkyklė sugeneruoja jums prisijungimo duomenis ir išsaugo juos užšifruotame tinkle. skliautas.
Naudodami gerą slaptažodžių tvarkyklę galite atrakinti saugyklą naudodami pagrindinį slaptažodį – leidžia slaptažodžių tvarkytuvui naudoti konkrečios svetainės kredencialų rinkinį jums prisijungti.
Kai pasikliaujate slaptažodžių tvarkykle, jai patikite savo el. paštą, internetinę bankininkystę, parduotuvės atlygio schemą ir taip, kriptovaliutų piniginę.
Įsilaužėliai pažeidė LastPass 2022 m. rugpjūčio mėn., nepaisant pakartotinių įmonės patikinimų per kelis 2022 m. gruodį LastPass pripažino, kad asmeniniai vartotojo duomenys ir užšifruoti slaptažodžių saugyklos buvo saugomi. pavogtas. Maždaug tuo metu MUO pradėjo gauti laiškų iš LastPass klientų, teigiančių nusikaltėliai aktyviai naudojosi savo įgaliojimais.
Nepaisant internetinių spėlionių ir nepagrįstų pranešimų, kad nusikaltėliai galėjo įsilaužti į atsisiųstų slaptažodžių saugyklas, LastPass ir toliau ramino klientus su pareiškimais, kad prireiks milijonų metų, kad nulaužtų pagrindinį slaptažodį.
Panašiai kaip ir ankstesniuose LastPass teiginiuose, dabar aiškėja, kad tai gali būti ne visai tiesa, ir įtartinos operacijos rodo įrodymus, kad duomenys, paimti iš LastPass saugyklų, naudojami skaitmeniniams pavogti turto.
Kaip nusikaltėliai naudoja pavogtus LastPass kredencialus
Norint prisijungti prie savo banko sąskaitos, paprastai reikia daugiau autentifikavimo nei paprasto slaptažodžio. Paprastai jūsų bankas pareikalaus naudoti tam skirtą programą, patvirtinimą SMS žinute arba kitą metodą daugiafaktorinis autentifikavimas.
Tai netiesa kriptovaliutų piniginės, paprastai apsaugotos naudojant pradinę frazę 12 ar daugiau žodžių, kurie suteikia jums visišką ir neribotą prieigą prie kriptovaliutų lėšų, privačių raktų ir operacijų. Apsiginklavęs tik šia žodžių serija, užpuolikas gali greitai ir lengvai perkelti jūsų lėšas į eterį.
Tačiau ilgą atsitiktinių žodžių seriją gali būti taip pat sunku prisiminti, kaip ypač sudėtingą slaptažodį, ir daugelis žmonių juos saugo slaptažodžių tvarkytuvės saugyklose. Ir kaip The Verge praneša, tai puiki žinia įsilaužėliams, kurie, atrodo, pavogė milijonus dolerių kriptovaliutų.
Nickas Baxas, Unciphered analitikos direktorius, peržiūrėjo didžiulius kriptovaliutų vagysčių duomenis, kuriuos atskleidė Metamasko Taylor Monahan ir kiti tyrinėtojai. 2023 metų rugsėjį jis pasakė Krebson Security kad nusikaltėliai perkėlė kriptovaliutą „iš kelių aukų į tuos pačius blokų grandinės adresus, todėl buvo galima tvirtai susieti tas aukas“.
Nustačius ir apklausęs aukas, jis padarė išvadą, kad vienintelis bendras veiksnys buvo tai, kad jie naudojo LastPass savo kriptovaliutų pradinių frazių saugojimui.
Baxas dabar ragina visus draugus ir šeimos narius, kurie naudoja LastPass, pakeisti visus savo slaptažodžius ir perkelti bet kokią kriptovaliutą, kuri galėjo būti atskleista.
Nusikaltėliai turėjo daug laiko panaudoti pavogtus šifravimo raktus, kad atidarytų pavogtų slaptažodžių saugyklas.
Nors prasminga, kad vagys pirmiausia nusitaikytų į lengvai perkeliamą kriptovaliutų turtą, taip pat tikėtina, kad jie jau atskleidė visus jūsų saugomus LastPass slaptažodžius. Jiems neribojamas laikas ir galiausiai jie gaus mažiau vertingų išteklių.
Nors jie negali būti tiesiogiai taikomi el. pašto paskyroms, „PayPal“ piniginėms ar bankams, šis turtas gali būti supakuotas ir parduodamas kitoms nusikalstamoms trečiosioms šalims.
Jei kuris nors iš „LastPass“ saugykloje iki 2022 m. saugomų slaptažodžių vis dar naudojamas, turėtumėte nedelsdami juos pakeisti.
