Aproximativ 25 de utilizatori de criptomonede care foloseau un manager de parole proeminent LastPass au pierdut peste 4 milioane de dolari în active digitale pe 25 octombrie, conform detectivului ZachXBT din lanț.
ZachXBT, în colaborare cu cercetătorul Tayvano, a urmărit exploitul încă din decembrie 2022, când LastPass a confirmat o breșă de securitate.
4,4 milioane USD furate de la clienții LastPass
La acea vreme, LastPass spunea că hackerii au făcut copii de rezervă ale datelor din seiful clienților săi. Acestea au inclus informații despre numele de utilizator și parolele site-ului web, note securizate și datele formularelor completate.
De atunci, actorii rău intenționați au golit portofelele utilizatorilor de criptomonede care ar putea să-și fi salvat frazele de bază pe platformă. Rapoartele estimaseră că peste 35 de milioane de dolari au fost furate de la peste 150 de victime din decembrie.
O postare din 27 octombrie a lui Tayvano a dezvăluit că cea mai recentă exploatare a afectat aproximativ 80 de adrese de criptomonede aparținând acestor 25 de victime. Rezultă o pierdere de 4,4 milioane de dolari.
Victimele hack-ului LastPass. Fântână; ZachXBT
„Majoritatea, dacă nu toate, victimele sunt utilizatori de lungă durată LastPass și/sau confirmă că și-au stocat cheile/semințele pe LastPass”, a spus Tayvano.
Experții în securitate vă sfătuiesc cu privire la următoarele acțiuni
Mai mulți experți în securitate criptografică au sfătuit utilizatorii LastPass cum să atenueze pierderile ulterioare rezultate în urma evenimentului.
Tayvano a spus că utilizatorii cărora li s-au golit portofelele ar trebui „să contacteze și să trimită UN IC3 CHIAR ACUM DACĂ NU AȚI FACUT DEJA”. IC3, prescurtare pentru Internet Crime Complaint Center, este un centru central pentru raportarea infracțiunilor cibernetice.
Într-o postare separată din 22 octombrie pe X, expertul în securitate a reamintit comunității că toate acreditările pe care le aveau în LastPass la acest moment anul trecut ar trebui considerate compromise.
Din această cauză, Tayvano a îndemnat comunitatea „să acorde prioritate rotației secretelor tale cele mai valoroase/cele mai vechi + să migreze activele astăzi”. Între timp, ZachXBT vă recomandă insistent să:
„Dacă credeți că v-ați stocat vreodată fraza sau cheile inițiale în LastPass, migrați-vă imediat activele cripto.”
LastPass a recomandat utilizatorilor săi să nu-și refolosească niciodată parola principală pe alte site-uri web și, de asemenea, să minimizeze riscul prin schimbarea parolelor site-ului web pe care le-au stocat.
