據一直在研究類似事件的加密貨幣欺詐研究人員稱,10月25日,黑客利用存儲在被盜LastPass數據庫中的私鑰和口令盜取440萬美元的加密貨幣。這一消息來自ZachXBT和MetaMask開發人員泰勒-莫納漢(TaylorMonahan),他們一直在追蹤這些加密貨幣盜竊案。
"經常有人通過 DM 聯系我們,說他們的加密資產被盜。我們也會接觸在鏈上發現的受害者,"ZachXBT表示。"我們會詢問潛在的 LastPass 受害者多個問題,通常會發現他們都有一個共同點,那就是 LastPass。"
根據 ZachXBT 在 X 上發佈的一條推文,由於 2022 年 LastPass 的漏洞,威脅行為者從 25 多名受害者那裡竊取 440 萬美元。
2022 年,LastPass 遭遇兩次漏洞,最終讓威脅分子竊取源代碼、客戶數據和存儲在雲服務(包括加密密碼庫)中的生產備份。
當時,LastPass 首席執行官卡裡姆-圖巴(Karim Toubba)表示,雖然加密庫被盜,但隻有客戶才知道解密所需的主密碼。
因此,如果你遵循 LastPass 推薦的密碼最佳實踐,你的密碼保險箱應該是安全的。不過,LastPass 警告說,對於那些使用較弱密碼的用戶,建議重新設置主密碼。
LastPass關於此次網絡攻擊的支持公告寫道:"根據主密碼的長度和復雜程度以及迭代次數設置,你可能需要重置主密碼。"
之所以給出這樣的建議,是因為較弱的密碼更容易被專門的程序破解,這些程序會利用 GPU 對易於破解的密碼進行暴力破解。
根據 Monahan 和 ZachXBT 所做的研究,人們認為威脅者正在破解這些被盜的密碼保險庫,以獲取存儲的加密貨幣錢包口令、憑證和私鑰。
一旦獲得這些信息,他們就可以將錢包加載到自己的設備上,並盜取其中的所有資金。根據佈萊恩-克雷佈斯(Brian Krebs)關於這項研究的報告,莫納漢和其他研究人員已經生成一個獨特的簽名,將超過 3500 萬美元的盜竊案與相同的威脅行為者聯系起來。
莫納漢今年 8 月在Twitter上寫道:"在這一點上,我也有信心說,在大多數情況下,被泄露的密鑰都是從 LastPass 竊取的。隻有特定的一組種子/密鑰存儲在 LastPass 中,而這些種子/密鑰被盜用的受害者人數之多,根本不容忽視。"
越來越清楚的是,LastPass 攻擊背後的威脅分子已經成功破解保險庫的密碼,並利用竊取的信息進一步實施身份盜竊犯罪。
因此,如果你是在 2022 年 8 月和 12 月漏洞事件中擁有賬戶的 LastPass 用戶,強烈建議你重置所有密碼,包括你的主密碼。