Secondo il detective on-chain ZachXBT, circa 25 utenti di criptovalute che utilizzano il noto gestore di password LastPass hanno perso più di 4 milioni di dollari in risorse digitali il 25 ottobre.
ZachXBT, in collaborazione con il collega ricercatore Tayvano, ha fatto risalire l'exploit al dicembre 2022, quando LastPass ha confermato una violazione della sicurezza.
Rubati 4,4 milioni di dollari ai clienti LastPass
All'epoca, LastPass affermò che gli hacker eseguivano il backup dei dati dal caveau dei suoi clienti. Ciò includeva informazioni su nomi utente e password del sito Web, note sicure e dati dei moduli compilati.
Da allora, gli autori malintenzionati hanno svuotato i portafogli degli utenti di criptovaluta che potrebbero aver salvato le loro frasi seme sulla piattaforma. I rapporti stimavano che da dicembre fossero stati rubati più di 35 milioni di dollari a più di 150 vittime.
Un post del 27 ottobre di Tayvano ha rivelato che l'exploit più recente ha colpito circa 80 indirizzi di criptovaluta appartenenti a queste 25 vittime. Con una perdita di 4,4 milioni di dollari.
Vittime dell'hacking LastPass. Fontana; ZachXBT
"La maggior parte, se non tutte, le vittime sono utenti LastPass di lunga data e/o confermano di aver archiviato le proprie chiavi/seed su LastPass", ha affermato Tayvano.
Gli esperti di sicurezza consigliano le azioni successive
Diversi esperti di sicurezza crittografica hanno consigliato agli utenti LastPass come mitigare ulteriori perdite derivanti dall'evento.
Tayvano ha affermato che gli utenti a cui è stato svuotato il portafoglio dovrebbero "contattarsi e INVIARE UN IC3 SUBITO SE NON L'HAI GIÀ FATTO". L'IC3, abbreviazione di Internet Crime Complaint Center, è un centro centrale per la segnalazione dei crimini informatici.
In un post separato del 22 ottobre su X, l'esperto di sicurezza ha ricordato alla comunità che tutte le credenziali che avevano in LastPass in questo periodo dell'anno scorso dovrebbero essere considerate compromesse.
Per questo motivo, Tayvano ha esortato la comunità a “dare priorità alla rotazione dei segreti più preziosi/più antichi e alla migrazione delle risorse oggi”. Nel frattempo, ZachXBT ti consiglia vivamente di:
"Se pensi di aver mai archiviato la frase seed o le chiavi in LastPass, esegui immediatamente la migrazione delle tue risorse crittografiche."
LastPass consiglia inoltre ai propri utenti di non riutilizzare mai la propria password principale su altri siti Web e di ridurre al minimo il rischio modificando le password dei siti Web archiviate.
