Nếu bạn không thay đổi mật khẩu của mình sau vụ vi phạm dữ liệu LastPass, hãy thực hiện ngay
Hầu như không một tuần nào trôi qua mà không có tin tức về vụ vi phạm dữ liệu được đưa lên các mặt báo. Hậu quả thực sự dường như rất hiếm và các cuộc tấn công thành công phổ biến đến mức gần như bạn muốn bỏ qua chúng và tiếp tục như bình thường. Nhưng vụ vi phạm dữ liệu LastPass vào năm 2022 đã chứng kiến tội phạm truy cập vào toàn bộ kho mật khẩu, dẫn đến hàng loạt lời từ chối ngày càng khó tin từ công ty.
Có vẻ như vi phạm bảo mật gần đây của LastPass đã dẫn đến việc truy cập trái phép và sau đó là chiếm đoạt tài sản kỹ thuật số trị giá hơn 35 triệu đô la được phân loại là tiền điện tử.
Điều gì đã xảy ra trong Vụ vi phạm dữ liệu LastPass năm 2022?
Một giải pháp quản lý mật khẩu mạnh mẽ là điều cần thiết nếu người ta muốn bảo vệ tài sản kỹ thuật số của mình bằng cách tuân thủ các biện pháp an ninh mạng hợp lý. Thay vì cố gắng nhớ lại các mật khẩu phức tạp hoặc sử dụng định kỳ bằng cách sử dụng thông tin đăng nhập giống hệt nhau trên nhiều nền tảng (cả hai đều không được khuyến khích), phần mềm như vậy sẽ tự động tạo mã xác thực mạnh mẽ trong khi lưu trữ chúng một cách an toàn trong kho lưu trữ ảo được mã hóa.
Bằng cách sử dụng trình quản lý mật khẩu đặc biệt, người ta có thể có quyền truy cập vào kho lưu trữ an toàn của mình bằng cách nhập mật mã chính, từ đó cấp cho công cụ quản lý mật khẩu quyền sử dụng một bộ chi tiết đăng nhập cụ thể cho từng trang web.
Khi dựa vào trình quản lý mật khẩu, người ta sẽ tiết lộ nhiều thông tin nhạy cảm khác nhau như tài khoản email, thông tin xác thực ngân hàng trực tuyến, chi tiết chương trình khách hàng thân thiết và thậm chí cả lưu trữ tiền điện tử.
Vào tháng 8 năm 2022, có thông tin cho rằng tin tặc đã truy cập trái phép vào LastPass, một dịch vụ trực tuyến được sử dụng để lưu trữ mật khẩu. Mặc dù cung cấp nhiều đảm bảo ngược lại, LastPass đã xác nhận vào tháng 12 cùng năm rằng thông tin cá nhân và cơ sở dữ liệu mật khẩu được mã hóa của một số người dùng thực sự đã bị xâm phạm. Trong thời gian này, một số cá nhân đã liên hệ với All Things N để bày tỏ lo ngại về việc sử dụng trái phép thông tin đăng nhập của họ mà họ tin rằng có thể có được thông qua vi phạm bảo mật tại LastPass.
Bất chấp những tin đồn lan rộng và những tuyên bố vô căn cứ lan truyền trên internet cho thấy rằng tin tặc đã xâm nhập thành công cơ sở dữ liệu mật khẩu đã tải xuống, LastPass vẫn kiên định đảm bảo với cơ sở khách hàng của mình bằng cách khẳng định rằng họ sẽ cần một khoảng thời gian cắt cổ không thực tế để xâm phạm khóa mã hóa do người dùng xác định. trung tâm của những chiếc két kỹ thuật số này.
Những tiết lộ gần đây gây nghi ngờ về những tuyên bố trước đây của LastPass, cho thấy rằng thông tin nhạy cảm được lưu trữ trong kho tiền của họ đã được sử dụng cho các mục đích bất hợp pháp, như được chỉ ra bởi một loạt giao dịch đáng ngờ.
Tội phạm đang sử dụng thông tin xác thực LastPass bị đánh cắp như thế nào
Để truy cập vào tài khoản ngân hàng của bạn, các tổ chức thường thực hiện các biện pháp bảo mật bổ sung ngoài mật khẩu. Thông thường, điều này liên quan đến việc sử dụng một ứng dụng chuyên dụng, nhận tin nhắn SMS có mã duy nhất hoặc sử dụng các phương pháp xác thực đa yếu tố khác.
Ví tiền điện tử sử dụng cụm từ gốc để xác thực không cung cấp mức độ bảo mật tương tự như các hệ thống dựa trên mật khẩu truyền thống. Những cụm từ này thường bao gồm mười hai từ trở lên và cấp quyền truy cập không hạn chế vào tài sản tiền điện tử của một người, bao gồm khóa riêng tư và lịch sử giao dịch. Thật không may, một lượng thông tin nhỏ như vậy là tất cả những gì cần thiết để kẻ xấu có thể truy cập trái phép và đánh cắp tiền của người dùng mà không có bất kỳ thông tin xác thực hoặc ủy quyền nào khác.
Nhưng một chuỗi dài các từ ngẫu nhiên có thể khó nhớ như một mật khẩu đặc biệt phức tạp và nhiều người lưu trữ chúng trong kho quản lý mật khẩu của họ. Và, như The Verge báo cáo, đó là tin tuyệt vời cho các tin tặc, những người dường như có đã đánh cắp hàng triệu đô la bằng tiền điện tử.
Nick Bax, giám đốc phân tích tại Unciphered, đã xem xét một lượng lớn dữ liệu về hành vi trộm cắp tiền điện tử được Taylor Monahan của Metamask và các nhà nghiên cứu khác khai quật. Vào tháng 9 năm 2023, anh ấy nói với KrebsonSecurity rằng bọn tội phạm đã chuyển tiền điện tử “từ nhiều nạn nhân đến cùng một địa chỉ blockchain, giúp có thể liên kết chặt chẽ những nạn nhân đó.”
Sau khi tiến hành một cuộc điều tra bằng cách phỏng vấn những cá nhân bị ảnh hưởng, rõ ràng là họ có điểm chung là dựa vào LastPass như một phương tiện để lưu trữ các cụm từ mật mã.
Bax đã khuyến khích những người có kết nối sử dụng LastPass cập nhật thông tin xác thực mật khẩu của họ và di dời mọi thông tin mật mã có khả năng bị xâm phạm, như một biện pháp phòng ngừa an toàn.
Thay đổi tất cả mật khẩu của bạn ngay lập tức
Các phần tử tội phạm đã có nhiều cơ hội để khai thác các khóa mã hóa thu được bất hợp pháp để truy cập vào kho mật khẩu được mua bất hợp pháp.
Thật hợp lý khi cho rằng bọn tội phạm có thể ưu tiên các loại tiền điện tử dễ di chuyển khi cố gắng khai thác thông tin đăng nhập bị đánh cắp. Tuy nhiên, do không khẩn cấp nên rất có thể họ đã truy cập và xâm phạm bất kỳ mật khẩu đã lưu nào trong tài khoản LastPass. Do đó, việc những cá nhân này chuyển sự chú ý sang những mục tiêu kém giá trị hơn chỉ là vấn đề thời gian.
Mặc dù các mặt hàng có được bất hợp pháp này không nhằm mục đích rõ ràng là xâm phạm tài khoản email, số dư ví PayPal hoặc tổ chức ngân hàng, nhưng chúng vẫn có thể được đóng gói lại và chuyển cho các tổ chức bên thứ ba vô đạo đức khác để tiếp tục sử dụng với mục đích xấu.
Chúng tôi khuyên bạn nên nhanh chóng sửa đổi bất kỳ mật khẩu nào được lưu trong tài khoản LastPass của mình trước năm 2022 nếu mật khẩu đó vẫn được sử dụng cho đến ngày nay.