如果您在 LastPass 數據洩露後沒有更改密碼,請立即更改
幾乎每週都有數據洩露的新聞成為頭條新聞。真正的後果似乎很少見,而成功的攻擊卻如此常見,以至於人們很容易忽視它們並照常進行。但 2022 年 LastPass 數據洩露事件導致犯罪分子訪問了整個密碼庫,導致該公司做出了一系列越來越令人難以置信的否認。
最近 LastPass 的安全漏洞似乎導致了價值超過 3500 萬美元的加密貨幣數字資產的未經授權訪問和隨後的盜用。
2022 年 LastPass 數據洩露事件發生了什麼?
如果您希望通過遵守健全的網絡安全實踐來保護其數字資產,那麼強大的密碼管理解決方案至關重要。此類軟件不會嘗試回憶複雜的密碼或在多個平台上重複使用相同的登錄名(這兩種情況都是不鼓勵的),而是自動生成可靠的身份驗證代碼,同時將它們安全地存儲在加密的虛擬存儲庫中。
通過使用特殊的密碼管理器,人們可以通過輸入主密碼來訪問其安全存儲庫,從而授予密碼管理工具使用各個網站的一組特定登錄詳細信息的權限。
一旦依賴密碼管理器,人們就會向其洩露各種敏感信息,例如電子郵件帳戶、網上銀行憑證、忠誠度計劃詳細信息,甚至加密貨幣存儲。
2022 年 8 月,據報導,黑客未經授權訪問了用於存儲密碼的在線服務 LastPass。儘管提供了多項相反的保證,LastPass 在同年 12 月確認,一些用戶的個人信息和加密密碼數據庫確實已被洩露。在此期間,許多人聯繫 All Things N 表達了對其登錄憑據未經授權使用的擔憂,他們認為這些登錄憑據可能是通過 LastPass 的安全漏洞獲得的。
儘管互聯網上流傳著廣泛的謠言和毫無根據的說法,表明黑客已成功破壞了下載的密碼數據庫,但LastPass 仍然堅定地向其客戶群保證,聲稱需要花費不切實際的過多時間來破壞用戶定義的加密密鑰這些數字保險箱的核心。
最近的爆料讓人對 LastPass 之前的說法產生了懷疑,一系列可疑交易表明,存儲在其金庫中的敏感信息已被用於非法目的。
犯罪分子如何使用被盜的 LastPass 憑證
為了訪問您的銀行帳戶,機構通常會實施除密碼之外的其他安全措施。通常,這涉及利用專門的應用程序、接收帶有唯一代碼的 SMS 消息或採用其他多因素身份驗證方法。
使用助記詞進行身份驗證的加密貨幣錢包無法提供與傳統基於密碼的系統相同級別的安全性。這些短語通常由十二個或更多單詞組成,並允許不受限制地訪問一個人的加密貨幣資產,包括私鑰和交易歷史記錄。不幸的是,惡意行為者只需要如此少量的信息即可獲得未經授權的訪問並竊取用戶的資金,而無需任何進一步的憑據或授權。
但一長串隨機單詞可能與特別棘手的密碼一樣難以記住,許多人將它們存儲在密碼管理器庫中。而且,正如The Verge 報導的那樣,這對黑客來說是個好消息,他們似乎已經盜竊了數百萬美元的加密貨幣。
Unciphered 的分析總監 Nick Bax 一直在審查 Metamask 的 Taylor Monahan 和其他研究人員發現的大量加密貨幣盜竊數據。 2023 年9 月,他告訴KrebsonSecurity,犯罪分子已將加密貨幣“從多個受害者訪問相同的區塊鏈地址,從而可以將這些受害者緊密聯繫起來。”
通過採訪受影響的個人進行調查後,我們發現他們的一個共同特徵是依賴 LastPass 作為存儲加密種子短語的手段。
Bax 鼓勵那些使用 LastPass 的連接者更新其密碼憑據並重新定位任何可能洩露的加密信息,作為安全預防措施。
立即更改所有密碼
犯罪分子有充分的機會利用非法獲得的加密密鑰來訪問非法獲取的密碼存儲庫。
可以合理地假設,犯罪分子在嘗試利用被盜的登錄憑據時可能會優先考慮易於攜帶的加密貨幣。然而,鑑於他們缺乏緊迫性,他們很可能已經訪問並洩露了 LastPass 帳戶中保存的任何密碼。因此,這些人將注意力轉向價值較低的目標只是時間問題。
雖然這些非法獲取的物品並未明確旨在損害電子郵件帳戶、PayPal 錢包餘額或銀行機構,但它們仍然可以重新包裝並轉移到其他不道德的第三方實體以進一步惡意使用。
強烈建議您在 2022 年之前立即修改 LastPass 帳戶中保存的任何密碼(如果該密碼目前仍在使用中)。