Сперва главное:
🔎 Хакер, ответственный за крупное нарушение безопасности LastPass в 2022 году, продолжил свою деятельность.
💰 Используя украденные данные, он вывел 5,36 миллиона долларов из 40 криптовалютных кошельков.
💡 Слабые, повторно используемые или ранее утекшие мастер-пароли могли стать причиной серии краж криптовалюты у пользователей LastPass с 2022 года.
📢 Эксперт по блокчейну ZachXBT связал последнюю кражу с нарушением безопасности LastPass. Он утверждает, что это лишь одна из многих краж криптовалют, затронувших жертв нарушения безопасности LastPass: в октябре 2023 года было украдено 4,4 миллиона долларов, а в феврале 2024 года — ещё 6,2 миллиона долларов.
🚨 С момента нарушения безопасности в августе по декабрь 2022 года у более чем 150 предполагаемых жертв нарушения безопасности LastPass было украдено свыше 35 миллионов долларов.
Теперь подробнее:
Хакер, стоящий за масштабным взломом LastPass в 2022 году, продолжил свою деятельность, используя украденные данные, чтобы украсть 5,36 миллиона долларов из 40 криптовалютных кошельков.
В результате взлома в августе 2022 года злоумышленник получил доступ к информации, которая позже позволила ему успешно взломать облачную среду хранения, где хранились ключи клиентов, токены API, семена многофакторной аутентификации (MFA) и зашифрованные хранилища паролей.
Хотя хранилища паролей были зашифрованы, мастер-пароль, используемый для их открытия, всё равно можно было подобрать методом перебора, если он был слабым, использовался повторно или ранее был раскрыт, что может быть причиной серии краж криптовалюты у пользователей LastPass с 2022 года.
Эксперт по блокчейну ZachXBT утверждает в своём посте в Telegram, что это лишь последняя из длинной череды краж криптовалюты, затронувших жертв взлома LastPass. В октябре 2023 года было украдено 4,4 миллиона долларов, а в феврале 2024 года — ещё 6,2 миллиона долларов.
«Украденные средства были обменены на ETH и переведены на различные мгновенные биржи с Ethereum на Bitcoin», — написал ZachXBT в своём сообщении в Telegram. «Не могу не подчеркнуть этого, если вы считаете, что когда-либо хранили свою сид-фразу или ключи в LastPass, немедленно переместите свои криптоактивы».
Ранее издание The Verge сообщало, что в период между взломом в августе и декабре 2022 года у более чем 150 очевидных жертв взлома LastPass было украдено более 35 миллионов долларов.
Эти последующие взломы криптовалютных кошельков подчёркивают важность использования уникальных паролей для каждой отдельной учётной записи и обеспечения соответствия каждого пароля рекомендуемым стандартам безопасности паролей с помощью одного из лучших генераторов паролей. Даже если вы сменили поставщика менеджера паролей после взлома LastPass, любые скомпрометированные пароли, которые всё ещё используются повторно, подвергаются риску, о чём свидетельствуют эти кражи криптовалюты. Также рекомендуется использовать надёжное приложение для аутентификации, которое использует биометрическую проверку для защиты ваших учётных записей, даже если злоумышленнику известны ваше имя пользователя и пароль».