Om du inte ändrade dina lösenord efter LastPass-dataintrånget, gör det nu
Det går knappt en vecka utan att det dyker upp nyheter om dataintrång på löpsedlarna. Verkliga konsekvenser är till synes sällsynta, och framgångsrika attacker så vanliga att det nästan är frestande att ignorera dem och fortsätta som vanligt. Men vid dataintrånget mot LastPass 2022 fick kriminella tillgång till hela lösenordsvalv, vilket ledde till en rad alltmer osannolika förnekanden från företaget.
Det verkar som att det senaste säkerhetsintrånget i LastPass har resulterat i obehörig åtkomst och efterföljande förskingring av över trettiofem miljoner dollar i digitala tillgångar som klassificeras som kryptovaluta.
Vad hände i LastPass-dataintrånget 2022?
En robust lösning för lösenordshantering är nödvändig om man vill skydda sina digitala tillgångar genom att följa sunda cybersäkerhetsrutiner. Istället för att försöka komma ihåg komplexa lösenord eller återkommande använda identiska inloggningar på flera plattformar (vilket båda är olämpliga), automatiserar sådan programvara genereringen av robusta autentiseringskoder samtidigt som de lagras säkert i ett krypterat virtuellt arkiv.
Genom att använda en exceptionell lösenordshanterare kan man få tillgång till deras säkra arkiv genom att ange ett huvudlösenord och därigenom ge lösenordshanteringsverktyget tillstånd att använda en specifik uppsättning inloggningsuppgifter för enskilda webbplatser.
När man förlitar sig på en lösenordshanterare anförtror man den olika känsliga uppgifter som e-postkonton, uppgifter om internetbank, lojalitetsprogram och till och med lagring av kryptovalutor.
I augusti 2022 rapporterades det att hackare hade fått obehörig åtkomst till LastPass, en onlinetjänst som används för att lagra lösenord. Trots flera försäkringar om motsatsen bekräftade LastPass i december samma år att vissa användares personuppgifter och krypterade lösenordsdatabaser verkligen hade äventyrats. Under denna period kontaktade ett antal personer All Things N för att uttrycka oro över obehörig användning av deras inloggningsuppgifter, som de trodde kunde ha erhållits genom säkerhetsöverträdelsen hos LastPass.
Trots omfattande rykten och ogrundade påståenden som cirkulerade på internet om att hackare hade lyckats ta sig in i nedladdade lösenordsdatabaser, stod LastPass fast vid sina försäkringar till sin kundbas och hävdade att det skulle kräva en opraktiskt orimligt lång tid att kompromettera den användardefinierade krypteringsnyckel som utgör kärnan i dessa digitala kassaskåp.
Nya avslöjanden kastar tvivel över tidigare påståenden från LastPass, vilket tyder på att känslig information som lagras i deras valv har använts för olagliga ändamål, vilket framgår av en rad tvivelaktiga transaktioner.
How Criminals Are Using Stolen LastPass Credentials
För att få tillgång till ditt bankkonto är det vanligt att institutioner implementerar ytterligare säkerhetsåtgärder utöver bara ett lösenord. Vanligtvis innebär detta att man använder en särskild applikation, tar emot ett SMS med en unik kod eller använder andra metoder för multifaktorautentisering.
Plånböcker för kryptovalutor som använder en så kallad seed phrase för autentisering ger inte samma säkerhetsnivå som traditionella lösenordsbaserade system. Dessa fraser består vanligtvis av tolv eller fler ord och ger obehindrad åtkomst till ens kryptovalutainnehav, inklusive privata nycklar och transaktionshistorik. Tyvärr är en så liten mängd information allt som krävs för att en illvillig aktör ska få obehörigt tillträde och stjäla en användares pengar utan några som helst ytterligare referenser eller tillstånd.
Men en lång serie slumpmässiga ord kan vara lika svåra att komma ihåg som ett särskilt knepigt lösenord, och många lagrar dessa i sina lösenordshanterarvalv. Och som The Verge rapporterar är det goda nyheter för hackare, som verkar ha stulit miljontals dollar i krypto.
Nick Bax, analyschef på Unciphered, har granskat en enorm mängd kryptostölddata som upptäckts av Metamask’s Taylor Monahan och andra forskare. I september 2023 berättade han för KrebsonSecurity att brottslingar hade flyttat krypto “från flera offer till samma blockchain-adresser, vilket gör det möjligt att starkt länka dessa offer.”
Efter att ha genomfört en undersökning genom intervjuer med drabbade personer blev det uppenbart att en gemensam egenskap bland dem var att de använde LastPass som ett sätt att lagra kryptografiska seed-fraser.
Bax har uppmanat personer med kontakter som använder LastPass att uppdatera sina lösenordsuppgifter och flytta all kryptografisk information som kan ha äventyrats, som en säkerhetsåtgärd.
Ändra alla dina lösenord omedelbart
Kriminella element har haft gott om tillfällen att utnyttja olagligt erhållna krypteringsnycklar för att få tillgång till olagligt erhållna lösenordsarkiv.
Det är rimligt att anta att kriminella kan prioritera lättrörliga kryptovalutor när de försöker utnyttja stulna inloggningsuppgifter.Men med tanke på deras brist på brådska är det mycket troligt att de redan har fått tillgång till och komprometterat alla sparade lösenord i ett LastPass-konto. Följaktligen är det bara en tidsfråga innan dessa individer vänder sin uppmärksamhet mot mindre värdefulla mål.
Även om dessa olagligt erhållna objekt inte uttryckligen syftar till att kompromettera e-postkonton, PayPal-plånbokssaldon eller bankinstitut, kan de fortfarande ompaketeras och överföras till andra skrupelfria tredje partsenheter för ytterligare skadlig användning.
Det rekommenderas starkt att du omedelbart ändrar alla lösenord som sparats i ditt LastPass-konto före år 2022 om det fortfarande är i aktiv användning idag.