Hackeři kradli miliony dolarů v kryptoměnách, zdánlivě po prolomení LastPass. Zde je to, co potřebujete vědět.

Stěží uplyne týden, aby se v titulcích neobjevily zprávy o narušení dat. Skutečné následky jsou zdánlivě vzácné a úspěšné útoky jsou tak běžné, že je téměř v pokušení je ignorovat a pokračovat jako obvykle. Ale kvůli porušení dat LastPass v roce 2022 se zločinci dostali k celým trezorům hesel, což vedlo k řadě stále nepravděpodobnějších odmítnutí ze strany společnosti.

Nyní se zdá, že hack LastPass přivedl kyberzločince k tomu, že ukradli více než 35 milionů dolarů v kryptoměnách.

Co se stalo v roce 2022 narušení dat LastPass?

Pokud jste si vědomi potřeby udržovat své online účty v bezpečí, potřebujete správce hesel. Místo toho, abyste si sami zapamatovali silná hesla nebo používali stejné heslo pro všechno (což doporučujeme proti), správce hesel pro vás vygeneruje přihlašovací údaje a uloží je v zašifrovaném prostředí online klenba.

S dobrým správcem hesel můžete svůj trezor odemknout pomocí hlavního hesla – což správci hesel umožní použít k přihlášení sadu pověření pro konkrétní web.

Když se spolehnete na správce hesel, svěříte mu svůj e-mail, své online bankovnictví, systém odměn v obchodě a ano, svou kryptopeněženku.

Hackeři porušili LastPass v srpnu 2022 a navzdory opakovanému ujišťování ze strany společnosti po několik měsíců, LastPass v prosinci 2022 připustil, že osobní uživatelská data spolu se zašifrovanými trezory hesel byly ukradený. Zhruba v té době začalo MUO dostávat e-maily od zákazníků LastPass s nárokem zločinci aktivně používali své přihlašovací údaje.

Navzdory online spekulacím a nepodloženým zprávám, že se zločincům podařilo proniknout do stažených trezorů hesel, LastPass nadále uklidňoval zákazníky s prohlášeními, že prolomení hlavního hesla by trvalo miliony let.

Podobně jako v dřívějších prohlášeních z LastPass se nyní ukazuje, že to nemusí být tak úplně pravda a je to stopa podezřelé transakce poukazují na důkazy, že data získaná z trezorů LastPass jsou používána ke krádeži digitálních dat aktiva.

Jak zločinci používají odcizené přihlašovací údaje LastPass

Chcete-li se přihlásit ke svému bankovnímu účtu, obvykle potřebujete více ověření než jednoduché heslo. Vaše banka by obvykle vyžadovala, abyste použili speciální aplikaci, ověření pomocí SMS nebo jinou metodu vícefaktorové ověřování.

To není pravda kryptopeněženky, obvykle zabezpečené pomocí počáteční fráze 12 nebo více slov, které vám poskytují úplný a neomezený přístup ke kryptografickým prostředkům, soukromým klíčům a transakcím. Útočník, vyzbrojený ničím jiným než touto sérií slov, může rychle a snadno vysát vaše finanční prostředky do éteru.

Dlouhá řada náhodných slov však může být stejně tak obtížně zapamatovatelná jako obzvláště záludná hesla a mnoho lidí je ukládá ve svých trezorech správce hesel. A jako The Verge zprávy, to je skvělá zpráva pro hackery, kteří podle všeho ukradli miliony dolarů v kryptoměnách.

Nick Bax, ředitel analytiky ve společnosti Unciphered, zkoumal obrovské množství dat o krádežích kryptoměn, která odhalil Taylor Monahan z Metamasku a další výzkumníci. V září 2023 řekl Krebson Security že zločinci přesunuli krypto „z více obětí na stejné blockchainové adresy, což umožnilo tyto oběti silně propojit“.

Po identifikaci a rozhovorech s oběťmi dospěl k závěru, že jediným společným faktorem bylo, že používali LastPass k ukládání svých kryptografických frází.

Bax nyní vyzývá všechny přátele a rodinu, kteří používají LastPass, aby změnili všechna svá hesla a migrovali jakékoli krypto, které mohlo být odhaleno.

Zločinci měli dost času na to, aby použili ukradené šifrovací klíče k otevření ukradených trezorů hesel.

I když dává smysl, že se zloději nejprve zaměří na snadno přenosná kryptoaktiva, je také pravděpodobné, že již odhalili všechna vaše uložená hesla LastPass. Nejsou nijak časově omezeni a nakonec se dostanou k méně hodnotným zdrojům.

I když se nemusí přímo zaměřovat na e-mailové účty, peněženky PayPal nebo banky, mohou být tato aktiva zabalena a prodána dalším kriminálním třetím stranám.

Pokud se některé z hesel uložených v trezoru LastPass před rokem 2022 stále používá, měli byste je okamžitě změnit.