Hackere har stjålet millioner av dollar i kryptovaluta, tilsynelatende etter LastPass-bruddet. Her er det du trenger å vite.
Det går knapt en uke uten at nyheter om et datainnbrudd treffer overskriftene. Virkelige konsekvenser er tilsynelatende sjeldne, og vellykkede angrep er så vanlige at det nesten er fristende å ignorere dem og fortsette som normalt. Men LastPass-databruddet i 2022 fikk kriminelle tilgang til hele passordhvelv, noe som førte til en rekke stadig mer usannsynlige avvisninger fra selskapet.
Nå ser det ut til at LastPass-hakket har fått nettkriminelle til å stjele over 35 millioner dollar i kryptovaluta.
Hva skjedde i 2022 LastPass-databruddet?
Hvis du er bevisst på behovet for å holde nettkontoene dine trygge, du trenger en passordbehandler. I stedet for å huske sterke passord selv eller gjenbruke det samme passordet for alt (som vi anbefaler mot), genererer en passordbehandler påloggingsinformasjon for deg, og lagrer dem i en kryptert online hvelv.
Med en god passordbehandler kan du låse opp hvelvet ditt ved å bruke et hovedpassord – slik at passordbehandleren kan bruke et stedspesifikt sett med legitimasjon for å logge deg på.
Når du kommer til å stole på en passordbehandler, overlater du den til e-posten din, nettbanken din, butikkbelønningsordningen og ja, kryptolommeboken din.
Hackere brøt LastPass i august 2022, og til tross for gjentatte forsikringer fra selskapet over flere måneder, innrømmet LastPass i desember 2022 at personlige brukerdata sammen med krypterte passordhvelv hadde blitt stjålet. Rundt den tiden begynte MUO å motta e-poster fra LastPass-kunder som hevdet kriminelle brukte aktivt legitimasjonen deres.
Til tross for spekulasjoner på nettet og udokumenterte rapporter om at kriminelle var i stand til å bryte seg inn i nedlastede passordhvelv, LastPass fortsatte å berolige kundene med uttalelser om at det ville ta millioner av år å knekke hovedpassordet.
I likhet med tidligere uttalelser fra LastPass, viser det seg nå at dette kanskje ikke er helt sant, og et spor av mistenkelige transaksjoner peker på bevis på at data hentet fra LastPass-hvelv blir brukt til å stjele digitalt eiendeler.
Hvordan kriminelle bruker stjålet LastPass-legitimasjon
For å logge på bankkontoen din trenger du vanligvis mer autentisering enn et enkelt passord. Vanligvis vil banken din kreve at du bruker en dedikert app, SMS-verifisering eller en annen metode for multifaktorautentisering.
Dette er ikke sant kryptolommebøker, vanligvis sikret ved hjelp av en frøfrase på 12 eller flere ord som gir deg fullstendig og ubegrenset tilgang til kryptomidler, private nøkler og transaksjoner. Bevæpnet med ingenting annet enn denne serien med ord, kan en angriper raskt og enkelt suge pengene dine inn i eteren.
Men en lang rekke tilfeldige ord kan være like vanskelig å huske som et spesielt vanskelig passord, og mange lagrer disse i passordbehandlingshvelvene sine. Og som The Verge rapporterer, det er gode nyheter for hackere, som ser ut til å ha stjålet millioner av dollar i krypto.
Nick Bax, direktør for analyse ved Unciphered, har gjennomgått en enorm mengde kryptotyveridata som ble avdekket av Metamasks Taylor Monahan og andre forskere. I september 2023 fortalte han Krebson Security at kriminelle hadde flyttet krypto "fra flere ofre til de samme blokkjedeadressene, noe som gjorde det mulig å knytte disse ofrene sterkt."
Etter å ha identifisert og intervjuet ofre, konkluderte han med at den eneste felles faktoren var at de brukte LastPass til å lagre sine kryptofrøfraser.
Bax oppfordrer nå venner og familie som bruker LastPass til å endre alle passordene deres og migrere enhver krypto som kan ha blitt utsatt.
Kriminelle har hatt god tid til å bruke stjålne krypteringsnøkler for å åpne stjålne passordhvelv.
Selv om det er fornuftig at tyvene først vil målrette mot lett overførbare kryptoaktiva, er det også sannsynlig at de allerede har avslørt alle dine lagrede LastPass-passord. De har ingen tidsbegrensninger, og vil til slutt komme rundt til mindre verdifulle ressurser.
Selv om de kanskje ikke er direkte målrettet mot e-postkontoer, PayPal-lommebøker eller banker, kan disse eiendelene pakkes og selges til andre kriminelle tredjeparter.
Hvis noen av passordene som er lagret i et LastPass-hvelv før 2022 fortsatt er i bruk, bør du endre dem umiddelbart.
