Šķietami pēc LastPass pārkāpuma hakeri ir nozaguši miljoniem dolāru kriptovalūtā. Lūk, kas jums jāzina.
Paiet gandrīz nedēļa, lai virsraksti netiktu parādīti ziņām par datu pārkāpumu. Reālas sekas ir šķietami reti sastopamas, un veiksmīgi uzbrukumi ir tik izplatīti, ka ir gandrīz kārdinājums tos ignorēt un turpināt kā parasti. Taču 2022. gada LastPass datu pārkāpuma rezultātā noziedznieki piekļuva veselām paroļu glabātuvēm, izraisot virkni arvien neticamāku uzņēmuma atteikumu.
Tagad šķiet, ka LastPass uzlaušanas rezultātā kibernoziedznieki ir nozaguši vairāk nekā 35 miljonus USD kriptovalūtās.
Kas notika 2022. gada LastPass datu pārkāpumā?
Ja apzināties nepieciešamību aizsargāt savus tiešsaistes kontus, jums ir nepieciešams paroļu pārvaldnieks. Tā vietā, lai pats iegaumētu spēcīgas paroles vai atkārtoti izmantotu vienu un to pašu paroli visam (ko mēs iesakām pret), paroļu pārvaldnieks ģenerē jums pieteikšanās akreditācijas datus un saglabā tos šifrētā tiešsaistē. velve.
Izmantojot labu paroļu pārvaldnieku, varat atbloķēt savu glabātuvi, izmantojot galveno paroli, ļaujot paroļu pārvaldniekam izmantot vietnei raksturīgu akreditācijas datu kopu, lai jūs pieteiktos.
Ja vēlaties paļauties uz paroļu pārvaldnieku, jūs tam uzticat savu e-pastu, tiešsaistes banku, veikala atlīdzības shēmu un, jā, savu kriptovalūtu.
Hakeri pārkāpa LastPass 2022. gada augustā un, neskatoties uz uzņēmuma vairākkārtējiem apliecinājumiem vairākos Mēnešiem, LastPass 2022. gada decembrī atzina, ka lietotāja personīgie dati kopā ar šifrētām paroļu glabātuvēm ir bijuši nozagts. Ap to laiku MUO sāka saņemt e-pasta ziņojumus no LastPass klientiem, kuri apgalvoja noziedznieki aktīvi izmantoja savus akreditācijas datus.
Neskatoties uz tiešsaistes spekulācijām un nepamatotiem ziņojumiem, ka noziedznieki varēja ielauzties lejupielādēto paroļu glabātuvēs, LastPass turpināja nomierināt klientus ar apgalvojumiem, ka galvenās paroles uzlaušana prasīs miljoniem gadu.
Līdzīgi kā agrākos paziņojumos no LastPass, tagad atklājas, ka tā var nebūt pilnīgi taisnība, un aizdomīgi darījumi norāda uz pierādījumiem, ka dati, kas ņemti no LastPass glabātavām, tiek izmantoti, lai nozagtu digitālo aktīviem.
Kā noziedznieki izmanto nozagtos LastPass akreditācijas datus
Lai pieteiktos savā bankas kontā, parasti ir nepieciešama lielāka autentifikācija, nevis vienkārša parole. Parasti jūsu banka pieprasa izmantot īpašu lietotni, SMS verifikāciju vai citu metodi daudzfaktoru autentifikācija.
Tas nav taisnība kriptovalūtas maki, parasti nodrošināti, izmantojot sākuma frāzi 12 vai vairāk vārdu, kas nodrošina pilnīgu un neierobežotu piekļuvi kriptovalūtu līdzekļiem, privātajām atslēgām un darījumiem. Bruņojies tikai ar šo vārdu sēriju, uzbrucējs var ātri un viegli novirzīt jūsu līdzekļus ēterī.
Taču garu nejaušu vārdu sēriju var būt tikpat grūti atcerēties kā īpaši viltīgu paroli, un daudzi cilvēki tos glabā savās paroļu pārvaldnieka glabātuvēs. Un kā The Verge ziņo, tās ir lieliskas ziņas hakeriem, kuri, šķiet, ir nozaguši miljoniem dolāru kriptovalūtā.
Niks Bakss, uzņēmuma Unciphered analītikas direktors, ir pārskatījis milzīgu daudzumu kriptovalūtu zādzību datu, ko atklāja Metamaska Teilors Monahans un citi pētnieki. 2023. gada septembrī viņš stāstīja KrebsonSecurity ka noziedznieki ir pārvietojuši kriptovalūtu "no vairākiem upuriem uz tām pašām blokķēdes adresēm, tādējādi ļaujot cieši saistīt šos upurus".
Pēc upuru identificēšanas un intervēšanas viņš secināja, ka vienīgais kopīgais faktors bija tas, ka viņi izmantoja LastPass, lai saglabātu savas kriptogrāfijas sēklu frāzes.
Bakss tagad mudina visus draugus un ģimenes locekļus, kuri izmanto LastPass, nomainīt visas savas paroles un migrēt visus kriptovalūtus, kas varētu būt pakļauti.
Noziedzniekiem ir bijis pietiekami daudz laika, lai izmantotu zagtas šifrēšanas atslēgas, lai atvērtu zagtu paroļu glabātuves.
Lai gan ir loģiski, ka zagļi vispirms vēršas pret viegli pārvedamiem kriptovalūtiem, iespējams, ka viņi jau ir atklājuši visas jūsu saglabātās LastPass paroles. Viņiem nav laika ierobežojumu, un galu galā viņi izmantos mazāk vērtīgus resursus.
Lai gan tie nedrīkst būt tieši vērsti pret e-pasta kontiem, PayPal makiem vai bankām, šos līdzekļus var iepakot un pārdot citām noziedzīgām trešajām personām.
Ja kāda no parolēm, kas saglabāta LastPass krātuvē pirms 2022. gada, joprojām tiek izmantota, tā nekavējoties jānomaina.
