Theo thám tử ZachXBT, khoảng 25 người dùng tiền điện tử sử dụng trình quản lý mật khẩu nổi bật LastPass đã mất hơn 4 triệu USD tài sản kỹ thuật số vào ngày 25 tháng 10.
ZachXBT, làm việc với nhà nghiên cứu Tayvano, đã lần theo dấu vết khai thác từ tháng 12 năm 2022, khi LastPass xác nhận có vi phạm bảo mật.
4,4 triệu USD bị đánh cắp từ khách hàng LastPass
Vào thời điểm đó, LastPass cho biết tin tặc đã sao lưu dữ liệu từ kho lưu trữ của khách hàng. Điều này bao gồm thông tin về tên người dùng và mật khẩu trang web, ghi chú an toàn và dữ liệu biểu mẫu đã hoàn thành.
Kể từ đó, những kẻ độc hại đã lấy sạch ví của những người dùng tiền điện tử, những người có thể đã lưu cụm từ gốc của họ trên nền tảng. Các báo cáo ước tính hơn 35 triệu USD đã bị đánh cắp từ hơn 150 nạn nhân kể từ tháng 12.
Một bài đăng ngày 27 tháng 10 của Tayvano đã tiết lộ rằng vụ khai thác gần đây nhất đã ảnh hưởng đến khoảng 80 địa chỉ tiền điện tử của 25 nạn nhân này. Kết quả là lỗ 4,4 triệu USD.
Nạn nhân của vụ hack LastPass. Đài phun nước; ZachXBT
Tayvano cho biết: “Hầu hết, nếu không phải tất cả, nạn nhân là những người dùng LastPass lâu năm và/hoặc xác nhận đã lưu trữ khóa/hạt giống của họ trên LastPass”.
Các chuyên gia bảo mật tư vấn về các hành động tiếp theo
Một số chuyên gia bảo mật tiền điện tử đã tư vấn cho người dùng LastPass về cách giảm thiểu tổn thất tiếp theo phát sinh từ sự kiện này.
Tayvano cho biết những người dùng đã hết ví nên “liên hệ và GỬI IC3 NGAY BÂY GIỜ NẾU BẠN CHƯA LÀM”. IC3, viết tắt của Trung tâm Khiếu nại Tội phạm Internet, là trung tâm trung tâm báo cáo tội phạm mạng.
Trong một bài đăng riêng ngày 22 tháng 10 trên X, chuyên gia bảo mật này đã nhắc nhở cộng đồng rằng tất cả thông tin xác thực họ có trong LastPass vào thời điểm này năm ngoái sẽ bị coi là bị xâm phạm.
Vì điều này, Tayvano kêu gọi cộng đồng “ưu tiên luân chuyển những bí mật có giá trị nhất/cũ nhất của bạn + di chuyển tài sản ngay hôm nay”. Trong thời gian chờ đợi, ZachXBT thực sự khuyên bạn nên:
“Nếu bạn cho rằng mình đã từng lưu trữ cụm từ hoặc khóa gốc của mình trong LastPass, hãy di chuyển tài sản tiền điện tử của bạn ngay lập tức.”
LastPass khuyến nghị thêm người dùng không bao giờ sử dụng lại mật khẩu chính của họ trên các trang web khác và cũng giảm thiểu rủi ro bằng cách thay đổi mật khẩu trang web mà họ đã lưu trữ.
