หากคุณไม่ได้เปลี่ยนรหัสผ่านหลังจากการละเมิดข้อมูล LastPass ให้ทำทันที

Leonard Strauss included in Security Lastpass Cryptocurrency Hacking Password Manager

2023-09-14 135 words One minute

Contents

ผ่านไปไม่ถึงสัปดาห์โดยไม่มีข่าวการละเมิดข้อมูลที่เป็นพาดหัวข่าว ผลที่ตามมาที่แท้จริงนั้นดูเหมือนจะเกิดขึ้นได้ยาก และการโจมตีที่ประสบความสำเร็จนั้นเกิดขึ้นบ่อยครั้งจนแทบจะเมินเฉยและดำเนินไปตามปกติ แต่การละเมิดข้อมูล LastPass ในปี 2022 ทำให้อาชญากรเข้าถึงคลังรหัสผ่านทั้งหมด ซึ่งนำไปสู่การปฏิเสธจากบริษัทที่ไม่น่าเชื่อมากขึ้นเรื่อยๆ

ดูเหมือนว่าการละเมิดความปลอดภัยล่าสุดของ LastPass ส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตและการยักยอกสินทรัพย์ดิจิทัลมูลค่ากว่าสามสิบห้าล้านดอลลาร์ที่จัดอยู่ในประเภทสกุลเงินดิจิทัลในทางที่ผิดในภายหลัง

เกิดอะไรขึ้นในการละเมิดข้อมูล LastPass ปี 2022

โซลูชันการจัดการรหัสผ่านที่แข็งแกร่งถือเป็นสิ่งสำคัญหากต้องการปกป้องทรัพย์สินดิจิทัลของตนโดยปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี แทนที่จะพยายามเรียกคืนรหัสผ่านที่ซับซ้อนหรือใช้การเข้าสู่ระบบซ้ำๆ กันในหลายแพลตฟอร์ม (ซึ่งทั้งสองไม่สนับสนุน) ซอฟต์แวร์ดังกล่าวจะสร้างรหัสการตรวจสอบความถูกต้องที่เข้มงวดโดยอัตโนมัติในขณะที่จัดเก็บไว้อย่างปลอดภัยภายในพื้นที่เก็บข้อมูลเสมือนที่เข้ารหัส

ด้วยการใช้ตัวจัดการรหัสผ่านที่ยอดเยี่ยม เราสามารถเข้าถึงพื้นที่เก็บข้อมูลที่ปลอดภัยได้โดยการป้อนรหัสผ่านหลัก ดังนั้นจึงให้สิทธิ์เครื่องมือการจัดการรหัสผ่านในการใช้ชุดรายละเอียดการเข้าสู่ระบบเฉพาะสำหรับแต่ละเว็บไซต์

เมื่อพึ่งพาผู้จัดการรหัสผ่าน เราจะเปิดเผยข้อมูลที่ละเอียดอ่อนต่างๆ เช่น บัญชีอีเมล ข้อมูลรับรองธนาคารออนไลน์ รายละเอียดโปรแกรมสะสมคะแนน และแม้แต่ที่เก็บข้อมูลสกุลเงินดิจิทัล

ในเดือนสิงหาคมปี 2022 มีรายงานว่าแฮกเกอร์เข้าถึง LastPass ซึ่งเป็นบริการออนไลน์ที่ใช้จัดเก็บรหัสผ่านโดยไม่ได้รับอนุญาต แม้จะให้การรับประกันหลายประการในทางตรงกันข้าม LastPass ยืนยันในเดือนธันวาคมของปีเดียวกันว่าข้อมูลส่วนบุคคลของผู้ใช้บางรายและฐานข้อมูลรหัสผ่านที่เข้ารหัสถูกบุกรุกอย่างแน่นอน ในช่วงเวลานี้ มีบุคคลจำนวนหนึ่งติดต่อ All Things N เพื่อแสดงความกังวลเกี่ยวกับการใช้ข้อมูลรับรองการเข้าสู่ระบบโดยไม่ได้รับอนุญาต ซึ่งพวกเขาเชื่อว่าอาจได้รับมาจากการละเมิดความปลอดภัยที่ LastPass

แม้จะมีข่าวลืออย่างกว้างขวางและการกล่าวอ้างที่ไม่มีมูลที่แพร่สะพัดบนอินเทอร์เน็ตที่แนะนำว่าแฮกเกอร์ได้ละเมิดฐานข้อมูลรหัสผ่านที่ดาวน์โหลดมาได้สำเร็จ LastPass ยังคงแน่วแน่ในการรับประกันต่อฐานลูกค้าโดยยืนยันว่าจะต้องใช้เวลาในระยะเวลาที่สูงเกินจริงเพื่อประนีประนอมกับคีย์เข้ารหัสที่ผู้ใช้กำหนด หัวใจสำคัญของตู้เซฟดิจิทัลเหล่านี้

การเปิดเผยล่าสุดทำให้เกิดข้อสงสัยเกี่ยวกับการอ้างสิทธิ์ครั้งก่อนของ LastPass โดยแนะนำว่าข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในห้องนิรภัยนั้นถูกใช้เพื่อวัตถุประสงค์ที่ผิดกฎหมาย ตามที่ระบุไว้ในธุรกรรมที่น่าสงสัยหลายชุด

อาชญากรใช้ข้อมูลรับรอง LastPass ที่ถูกขโมยได้อย่างไร

ในการเข้าถึงบัญชีธนาคารของคุณ เป็นธรรมเนียมที่สถาบันจะต้องใช้มาตรการรักษาความปลอดภัยเพิ่มเติมนอกเหนือจากการใช้รหัสผ่าน โดยทั่วไปสิ่งนี้เกี่ยวข้องกับการใช้แอปพลิเคชันพิเศษ การรับข้อความ SMS พร้อมรหัสเฉพาะ หรือการใช้วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัยอื่น ๆ

กระเป๋าเงินคริปโตเคอเรนซีที่ใช้วลีเริ่มต้นในการตรวจสอบความถูกต้องไม่ได้ให้ระดับความปลอดภัยเหมือนกับระบบที่ใช้รหัสผ่านแบบเดิม โดยทั่วไปวลีเหล่านี้ประกอบด้วยคำตั้งแต่สิบสองคำขึ้นไป และให้สิทธิ์ในการเข้าถึงการถือครองสกุลเงินดิจิทัลของตนอย่างอิสระ รวมถึงคีย์ส่วนตัวและประวัติการทำธุรกรรม น่าเสียดายที่ข้อมูลจำนวนเล็กน้อยนี้เป็นเพียงข้อมูลที่จำเป็นสำหรับผู้ประสงค์ร้ายในการเข้าใช้งานโดยไม่ได้รับอนุญาตและขโมยเงินของผู้ใช้โดยไม่ต้องมีข้อมูลรับรองหรือการอนุญาตเพิ่มเติมใด ๆ

แต่ชุดคำสุ่มยาวๆ ก็อาจจำยากพอๆ กับรหัสผ่านที่ยุ่งยากเป็นพิเศษ และผู้คนจำนวนมากก็เก็บคำเหล่านี้ไว้ในตู้นิรภัยของผู้จัดการรหัสผ่าน และตามที่ The Verge รายงาน นั่นเป็นข่าวดีสำหรับแฮกเกอร์ที่ดูเหมือนว่าจะ ขโมยเงินดิจิทัลไปหลายล้านดอลลาร์

Nick Bax ผู้อำนวยการฝ่ายวิเคราะห์ของ Unciphered กำลังตรวจสอบข้อมูลการขโมย crypto จำนวนมหาศาลที่ค้นพบโดย Taylor Monahan จาก Metamask และนักวิจัยคนอื่น ๆ ในเดือนกันยายน 2023 เขาบอกกับ KrebsonSecurity ว่าอาชญากรได้ย้าย crypto “จาก เหยื่อหลายรายไปยังที่อยู่บล็อคเชนเดียวกัน ทำให้สามารถเชื่อมโยงเหยื่อเหล่านั้นได้อย่างมาก”

หลังจากดำเนินการสอบสวนโดยการสัมภาษณ์บุคคลที่ได้รับผลกระทบ เห็นได้ชัดว่าลักษณะร่วมกันในหมู่พวกเขาคือการพึ่งพา LastPass เป็นวิธีการจัดเก็บวลีเริ่มต้นของการเข้ารหัส

Bax ได้สนับสนุนให้ผู้ที่มีการเชื่อมต่อโดยใช้ LastPass อัปเดตข้อมูลรับรองรหัสผ่านและย้ายข้อมูลการเข้ารหัสใด ๆ ที่อาจถูกบุกรุกเพื่อเป็นมาตรการป้องกันความปลอดภัย

เปลี่ยนรหัสผ่านทั้งหมดของคุณทันที

องค์ประกอบทางอาญามีโอกาสเพียงพอที่จะใช้ประโยชน์จากคีย์เข้ารหัสที่ได้มาอย่างผิดกฎหมายเพื่อเข้าถึงที่เก็บรหัสผ่านที่ได้มาอย่างผิดกฎหมาย

มีเหตุผลที่จะสรุปได้ว่าอาชญากรอาจจัดลำดับความสำคัญของสกุลเงินดิจิทัลที่พกพาได้ง่าย เมื่อพยายามใช้ประโยชน์จากข้อมูลรับรองการเข้าสู่ระบบที่ถูกขโมย อย่างไรก็ตาม เนื่องจากขาดความเร่งด่วน จึงมีความเป็นไปได้สูงที่พวกเขาได้เข้าถึงและบุกรุกรหัสผ่านที่บันทึกไว้ในบัญชี LastPass แล้ว ด้วยเหตุนี้ จึงเป็นเพียงเรื่องของเวลาก่อนที่บุคคลเหล่านี้จะหันความสนใจไปยังเป้าหมายที่มีคุณค่าน้อยกว่า

แม้ว่าสิ่งของที่ได้มาอย่างผิดกฎหมายเหล่านี้ไม่ได้มุ่งเป้าไปที่บัญชีอีเมล ยอดคงเหลือในกระเป๋าสตางค์ PayPal หรือสถาบันการธนาคารอย่างชัดเจน แต่สิ่งของเหล่านี้ยังสามารถบรรจุใหม่และโอนไปยังหน่วยงานบุคคลที่สามที่ไร้หลักการเพื่อนำไปใช้ในทางที่ผิดต่อไปได้

ขอแนะนำอย่างยิ่งให้คุณแก้ไขรหัสผ่านที่บันทึกไว้ในบัญชี LastPass ของคุณทันทีก่อนปี 2022 หากยังคงมีการใช้งานอยู่ในปัจจุบัน