Přibližně 25 uživatelů kryptoměn používajících prominentního správce hesel LastPass ztratilo 25. října více než 4 miliony dolarů v digitálních aktivech, podle detektiva ZachXBT.
ZachXBT ve spolupráci s výzkumným pracovníkem Tayvanem vystopoval zneužití zpět do prosince 2022, kdy LastPass potvrdil narušení bezpečnosti.
Zákazníkům LastPass bylo ukradeno 4,4 milionu dolarů
V té době společnost LastPass uvedla, že hackeři zálohovali data z trezoru jejích zákazníků. To zahrnovalo informace o uživatelských jménech a heslech webových stránek, bezpečné poznámky a data vyplněných formulářů.
Od té doby zlomyslní aktéři vyprázdnili peněženky uživatelů kryptoměn, kteří si možná uložili své počáteční fráze na platformě. Zprávy odhadovaly, že od prosince bylo ukradeno více než 35 milionů dolarů více než 150 obětem.
Příspěvek Tayvano z 27. října odhalil, že nejnovější exploit ovlivnil přibližně 80 kryptoměnových adres patřících těmto 25 obětem. Výsledkem je ztráta 4,4 milionu dolarů.
Oběti hacku LastPass. Kašna; ZachXBT
"Většina, ne-li všechny, oběti jsou dlouhodobí uživatelé LastPass a/nebo potvrzují, že své klíče/semena uložili na LastPass," řekl Tayvano.
Bezpečnostní experti radí s dalšími kroky
Několik odborníků na krypto bezpečnost radí uživatelům LastPass, jak zmírnit další ztráty vyplývající z této události.
Tayvano řekl, že uživatelé, kterým byly vyprázdněny peněženky, by se měli „ozvat a ODESLAT IC3 HNED, POKUD JSTE JIŽ NEUDĚLALI“. IC3, zkratka pro Internet Crime Complaint Center, je centrální centrum pro hlášení kybernetických zločinů.
V samostatném příspěvku z 22. října na X bezpečnostní expert připomněl komunitě, že všechny přihlašovací údaje, které měli v LastPass v tuto dobu loňského roku, by měly být považovány za kompromitované.
Z tohoto důvodu Tayvano vyzval komunitu, aby „upřednostnila rotaci vašich nejcennějších/nejstarších tajemství + migrovala aktiva ještě dnes“. Mezitím ZachXBT důrazně doporučuje, abyste:
"Pokud si myslíte, že jste někdy uložili svou počáteční frázi nebo klíče v LastPass, okamžitě migrujte své kryptografické prostředky."
LastPass dále doporučil svým uživatelům, aby nikdy znovu nepoužívali své hlavní heslo na jiných webových stránkách a také minimalizovali riziko změnou hesel webových stránek, která si uložili.
