Jeśli nie zmieniłeś swoich haseł po naruszeniu danych LastPass, zrób to teraz
Nie ma tygodnia, by na pierwsze strony gazet nie trafiała informacja o naruszeniu bezpieczeństwa danych. Rzeczywiste konsekwencje są pozornie rzadkie, a udane ataki tak powszechne, że niemal kuszące jest ich ignorowanie i normalne funkcjonowanie. Ale naruszenie danych LastPass w 2022 r. spowodowało, że przestępcy uzyskali dostęp do całych skarbców haseł, co doprowadziło do serii coraz bardziej nieprawdopodobnych zaprzeczeń ze strony firmy.
Wygląda na to, że niedawne naruszenie bezpieczeństwa LastPass doprowadziło do nieautoryzowanego dostępu, a następnie sprzeniewierzenia aktywów cyfrowych o wartości ponad trzydziestu pięciu milionów dolarów sklasyfikowanych jako kryptowaluta.
Co wydarzyło się podczas naruszenia danych LastPass w 2022 roku?
Solidne rozwiązanie do zarządzania hasłami jest niezbędne, jeśli ktoś chce chronić swoje zasoby cyfrowe poprzez przestrzeganie solidnych praktyk cyberbezpieczeństwa. Zamiast próbować przypominać sobie skomplikowane hasła lub regularnie używać identycznych loginów na wielu platformach (co jest odradzane), takie oprogramowanie automatyzuje generowanie solidnych kodów uwierzytelniających, jednocześnie bezpiecznie przechowując je w zaszyfrowanym wirtualnym repozytorium.
Korzystając z wyjątkowego menedżera haseł, można uzyskać dostęp do bezpiecznego repozytorium, wprowadzając kod główny, a tym samym udzielając narzędziu do zarządzania hasłami pozwolenia na korzystanie z określonego zestawu danych logowania do poszczególnych witryn internetowych.
Polegając na menedżerze haseł, powierzamy mu różne poufne informacje, takie jak konta e-mail, dane logowania do bankowości internetowej, szczegóły programu lojalnościowego, a nawet przechowywanie kryptowalut.
W sierpniu 2022 roku poinformowano, że hakerzy uzyskali nieautoryzowany dostęp do LastPass, usługi online służącej do przechowywania haseł. Pomimo wielokrotnych zapewnień, że jest inaczej, LastPass potwierdził w grudniu tego samego roku, że dane osobowe niektórych użytkowników i zaszyfrowane bazy danych haseł rzeczywiście zostały naruszone. W tym okresie wiele osób skontaktowało się z All Things N, aby wyrazić obawy dotyczące nieautoryzowanego użycia ich danych logowania, które ich zdaniem mogły zostać uzyskane w wyniku naruszenia bezpieczeństwa w LastPass.
Pomimo powszechnych plotek i bezpodstawnych twierdzeń krążących w Internecie sugerujących, że hakerzy z powodzeniem złamali pobrane bazy danych haseł, LastPass pozostał niezłomny w swoich zapewnieniach dla swojej bazy klientów, zapewniając, że złamanie klucza szyfrowania zdefiniowanego przez użytkownika w sercu tych cyfrowych sejfów wymagałoby niepraktycznie wygórowanej ilości czasu.
Ostatnie doniesienia podają w wątpliwość wcześniejsze twierdzenia LastPass, sugerując, że poufne informacje przechowywane w ich skarbcach zostały wykorzystane do nielegalnych celów, na co wskazuje seria wątpliwych transakcji.
Jak przestępcy wykorzystują skradzione dane uwierzytelniające LastPass
Aby uzyskać dostęp do konta bankowego, instytucje zwykle wdrażają dodatkowe środki bezpieczeństwa wykraczające poza zwykłe hasło. Zwykle wiąże się to z korzystaniem ze specjalistycznej aplikacji, otrzymywaniem wiadomości SMS z unikalnym kodem lub stosowaniem innych metod uwierzytelniania wieloskładnikowego.
Portfele kryptowalut, które wykorzystują frazę seed do uwierzytelniania, nie zapewniają takiego samego poziomu bezpieczeństwa jak tradycyjne systemy oparte na hasłach. Frazy te składają się zazwyczaj z dwunastu lub więcej słów i zapewniają nieograniczony dostęp do posiadanych kryptowalut, w tym kluczy prywatnych i historii transakcji. Niestety, tak niewielka ilość informacji jest wszystkim, co jest wymagane, aby złośliwy aktor uzyskał nieautoryzowany dostęp i ukradł środki użytkownika bez żadnych dalszych danych uwierzytelniających lub autoryzacji.
Ale długa seria losowych słów może być równie trudna do zapamiętania, jak szczególnie trudne hasło, a wiele osób przechowuje je w swoich skarbcach menedżerów haseł. Jak donosi The Verge , to świetna wiadomość dla hakerów, którzy najwyraźniej ukradli miliony dolarów w kryptowalutach.
Nick Bax, dyrektor ds. analiz w Unciphered, przeglądał ogromną ilość danych dotyczących kradzieży kryptowalut odkrytych przez Taylora Monahana z Metamask i innych badaczy. We wrześniu 2023 roku powiedział KrebsonSecurity , że przestępcy przenieśli kryptowaluty “od wielu ofiar na te same adresy blockchain, umożliwiając silne powiązanie tych ofiar”.
Po przeprowadzeniu dochodzenia w drodze wywiadów z poszkodowanymi osobami stało się oczywiste, że wspólną cechą wśród nich było poleganie na LastPass jako sposobie przechowywania kryptograficznych fraz seed.
Bax zachęcił osoby z połączeniami korzystającymi z LastPass do zaktualizowania swoich danych uwierzytelniających hasła i przeniesienia wszelkich potencjalnie zagrożonych informacji kryptograficznych jako środka ostrożności.
Natychmiast zmień wszystkie swoje hasła
Przestępcy mieli wiele okazji do wykorzystania nielegalnie uzyskanych kluczy szyfrowania w celu uzyskania dostępu do nielegalnie pozyskanych repozytoriów haseł.
Rozsądne jest założenie, że przestępcy mogą priorytetowo traktować łatwo przenośne kryptowaluty, próbując wykorzystać skradzione dane logowania.Biorąc jednak pod uwagę ich brak pilności, jest wysoce prawdopodobne, że uzyskali już dostęp do wszelkich zapisanych haseł na koncie LastPass i narazili je na szwank. W związku z tym jest tylko kwestią czasu, zanim osoby te zwrócą swoją uwagę na mniej wartościowe cele.
Chociaż te nielegalnie uzyskane elementy nie mają na celu bezpośredniego narażenia na szwank kont e-mail, sald portfela PayPal lub instytucji bankowych, nadal mogą być przepakowywane i przekazywane innym pozbawionym skrupułów podmiotom zewnętrznym w celu dalszego złośliwego wykorzystania.
Zdecydowanie zaleca się niezwłoczne zmodyfikowanie dowolnego hasła zapisanego na koncie LastPass przed rokiem 2022, jeśli jest ono nadal aktywne.