Hackare har stulit miljontals dollar i kryptovaluta, till synes efter LastPass-intrånget. Här är vad du behöver veta.
Det går knappt en vecka utan att nyheter om ett dataintrång slår upp rubrikerna. Verkliga konsekvenser är till synes sällsynta och framgångsrika attacker så vanliga att det nästan är frestande att ignorera dem och fortsätta som vanligt. Men LastPass-dataintrånget 2022 såg att brottslingar fick tillgång till hela lösenordsvalven, vilket ledde till en rad alltmer osannolika förnekelser från företaget.
Nu verkar det som om LastPass-hacket har fått cyberkriminella att stjäla över 35 miljoner dollar i kryptovalutor.
Vad hände under 2022 LastPass dataintrång?
Om du är medveten om behovet av att hålla dina onlinekonton säkra, du behöver en lösenordshanterare. Istället för att memorera starka lösenord själv eller återanvända samma lösenord för allt (vilket vi rekommenderar mot), genererar en lösenordshanterare inloggningsuppgifter åt dig och lagrar dem i en krypterad online valv.
Med en bra lösenordshanterare kan du låsa upp ditt valv med ett huvudlösenord – vilket gör att lösenordshanteraren kan använda en platsspecifik uppsättning autentiseringsuppgifter för att logga in dig.
När du kommer att förlita dig på en lösenordshanterare anförtror du den med din e-post, din onlinebank, ditt belöningsschema för din butik och ja, din kryptoplånbok.
Hackare bröt mot LastPass i augusti 2022, och trots upprepade försäkringar från företaget under flera månader, erkände LastPass i december 2022 att personlig användardata tillsammans med krypterade lösenordsvalv hade stulen. Runt den tiden började MUO ta emot e-postmeddelanden från LastPass-kunder som gjorde anspråk kriminella använde aktivt sina uppgifter.
Trots spekulationer på nätet och ogrundade rapporter om att brottslingar kunde bryta sig in i nedladdade lösenordsvalv, LastPass fortsatte att lugna kunderna med uttalanden om att det skulle ta miljontals år att knäcka huvudlösenordet.
I likhet med tidigare uttalanden från LastPass, visar det sig nu att detta kanske inte är helt sant, och ett spår av misstänkta transaktioner pekar på bevis för att data som tagits från LastPass-valven används för att stjäla digitalt tillgångar.
Hur brottslingar använder stulna LastPass-uppgifter
För att logga in på ditt bankkonto behöver du vanligtvis mer autentisering än ett enkelt lösenord. Vanligtvis kräver din bank att du använder en dedikerad app, SMS-verifiering eller någon annan metod för multifaktorautentisering.
Detta stämmer inte kryptoplånböcker, vanligtvis säkrade med en fröfras med 12 eller fler ord som ger dig fullständig och obegränsad tillgång till kryptofonder, privata nycklar och transaktioner. Beväpnad med ingenting annat än denna serie av ord, kan en angripare snabbt och enkelt suga in dina pengar i etern.
Men en lång rad slumpmässiga ord kan vara lika svåra att komma ihåg som ett särskilt knepigt lösenord, och många lagrar dessa i sina lösenordshanterarvalv. Och som Gränsen rapporterar, det är goda nyheter för hackare, som verkar ha stulit miljontals dollar i krypto.
Nick Bax, chef för analys på Unciphered, har granskat en enorm mängd kryptostölddata som grävts fram av Metamasks Taylor Monahan och andra forskare. I september 2023 berättade han Krebson Säkerhet att brottslingar hade flyttat krypto "från flera offer till samma blockchain-adresser, vilket gjorde det möjligt att starkt länka dessa offer."
Efter att ha identifierat och intervjuat offer drog han slutsatsen att den enda gemensamma faktorn var att de använde LastPass för att lagra sina kryptofröfraser.
Bax uppmanar nu alla vänner och familjer som använder LastPass att ändra alla sina lösenord och migrera eventuell krypto som kan ha blivit utsatt.
Brottslingar har haft gott om tid att använda stulna krypteringsnycklar för att öppna stulna lösenordsvalv.
Även om det är vettigt att tjuvar först skulle rikta in sig på enkelt överförbara kryptotillgångar, är det också troligt att de redan har avslöjat alla dina lagrade LastPass-lösenord. De har inga tidsbegränsningar och kommer så småningom att komma runt till mindre värdefulla resurser.
Även om de kanske inte direkt riktar in sig på e-postkonton, PayPal-plånböcker eller banker, kan dessa tillgångar paketeras och säljas till andra kriminella tredje parter.
Om något av lösenorden som lagrats i ett LastPass-valv före 2022 fortfarande används bör du ändra dem omedelbart.