Environ 25 utilisateurs de crypto-monnaie utilisant l'éminent gestionnaire de mots de passe LastPass ont perdu plus de 4 millions de dollars d'actifs numériques le 25 octobre, selon le détective en chaîne ZachXBT.
ZachXBT, en collaboration avec son collègue chercheur Tayvano, a retracé l'exploit jusqu'en décembre 2022, lorsque LastPass a confirmé une faille de sécurité.
4,4 millions de dollars volés aux clients LastPass
À l'époque, LastPass avait déclaré que les pirates avaient sauvegardé les données du coffre-fort de ses clients. Cela comprenait des informations sur les noms d'utilisateur et les mots de passe du site Web, des notes sécurisées et des données de formulaire complétées.
Depuis lors, des acteurs malveillants ont vidé les portefeuilles des utilisateurs de cryptomonnaies qui auraient pu sauvegarder leurs phrases de départ sur la plateforme. Des rapports avaient estimé que plus de 35 millions de dollars avaient été volés à plus de 150 victimes depuis décembre.
Un article de Tayvano du 27 octobre a révélé que l'exploit le plus récent affectait près de 80 adresses de crypto-monnaie appartenant à ces 25 victimes. Il en résulte une perte de 4,4 millions de dollars.
Victimes du piratage LastPass. Fontaine; ZachXBT
"La plupart, sinon la totalité, des victimes sont des utilisateurs de longue date de LastPass et/ou confirment avoir stocké leurs clés/graines sur LastPass", a déclaré Tayvano.
Des experts en sécurité conseillent sur les prochaines actions
Plusieurs experts en sécurité cryptographique ont conseillé les utilisateurs de LastPass sur la manière d'atténuer les pertes supplémentaires résultant de l'événement.
Tayvano a déclaré que les utilisateurs dont le portefeuille a été vidé devraient « prendre contact et SOUMETTRE UN IC3 MAINTENANT SI VOUS NE L'AVEZ PAS DÉJÀ FAIT ». L'IC3, abréviation de Internet Crime Complaint Center, est un centre central de signalement des cybercrimes.
Dans un article distinct du 22 octobre sur X, l'expert en sécurité a rappelé à la communauté que toutes les informations d'identification dont elle disposait dans LastPass à la même époque l'année dernière devaient être considérées comme compromises.
Pour cette raison, Tayvano a exhorté la communauté à « donner la priorité à la rotation de vos secrets les plus précieux/les plus anciens + à migrer les actifs aujourd'hui ». En attendant, ZachXBT vous recommande fortement de :
"Si vous pensez avoir déjà stocké votre phrase de départ ou vos clés dans LastPass, migrez immédiatement vos actifs cryptographiques."
LastPass a en outre recommandé à ses utilisateurs de ne jamais réutiliser leur mot de passe principal sur d'autres sites Web et de minimiser également les risques en modifiant les mots de passe de sites Web qu'ils ont stockés.
