Hackers hebben miljoenen dollars aan cryptocurrency gestolen, schijnbaar na de inbreuk op LastPass. Dit is wat je moet weten.
Er gaat nauwelijks een week voorbij zonder dat het nieuws over een datalek de krantenkoppen haalt. Echte gevolgen lijken zeldzaam, en succesvolle aanvallen zijn zo gewoon dat het bijna verleidelijk is om ze te negeren en gewoon door te gaan. Maar door het datalek bij LastPass in 2022 kregen criminelen toegang tot volledige wachtwoordkluizen, wat leidde tot een reeks steeds onwaarschijnlijker weigeringen van het bedrijf.
Nu lijkt het erop dat de LastPass-hack cybercriminelen ertoe heeft aangezet meer dan $35 miljoen aan cryptocurrencies te stelen.
Wat is er gebeurd tijdens de LastPass-datalek in 2022?
Als u zich bewust bent van de noodzaak om uw online accounts veilig te houden, je hebt een wachtwoordbeheerder nodig. In plaats van zelf sterke wachtwoorden te onthouden of voor alles hetzelfde wachtwoord te hergebruiken (wat wij adviseren tegen), genereert een wachtwoordbeheerder inloggegevens voor u en slaat deze versleuteld online op kluis.
Met een goede wachtwoordbeheerder kunt u uw kluis ontgrendelen met een hoofdwachtwoord, waardoor de wachtwoordbeheerder een sitespecifieke set inloggegevens kan gebruiken om u aan te melden.
Wanneer u op een wachtwoordbeheerder vertrouwt, vertrouwt u hem uw e-mail, uw online bankieren, uw winkelbeloningsprogramma en ja, uw crypto-portemonnee toe.
Hackers hebben in augustus 2022 inbreuk gemaakt op LastPass, ondanks herhaaldelijke geruststellingen van het bedrijf Maandenlang gaf LastPass in december 2022 toe dat persoonlijke gebruikersgegevens samen met gecodeerde wachtwoordkluizen waren opgeslagen gestolen. Rond die tijd begon MUO e-mails te ontvangen van LastPass-klanten die claimden Criminelen maakten actief gebruik van hun inloggegevens.
Ondanks online speculaties en ongefundeerde berichten dat criminelen in gedownloade wachtwoordkluizen konden inbreken, LastPass bleef klanten tevreden stellen met verklaringen dat het miljoenen jaren zou duren om het hoofdwachtwoord te kraken.
Net als bij eerdere verklaringen van LastPass komt nu naar voren dat dit misschien niet helemaal waar is, en dat er een spoor van is verdachte transacties wijzen erop dat gegevens uit LastPass-kluizen worden gebruikt om digitale gegevens te stelen activa.
Hoe criminelen gestolen LastPass-gegevens gebruiken
Om in te loggen op uw bankrekening heeft u doorgaans meer authenticatie nodig dan een eenvoudig wachtwoord. Normaal gesproken vereist uw bank dat u een speciale app, sms-verificatie of een andere methode gebruikt authenticatie met meerdere factoren.
Dit is niet waar crypto-wallets, meestal beveiligd met een zaadzin van 12 of meer woorden die u volledige en onbeperkte toegang geven tot cryptofondsen, privésleutels en transacties. Gewapend met niets anders dan deze reeks woorden kan een aanvaller uw geld snel en gemakkelijk naar de ether overhevelen.
Maar een lange reeks willekeurige woorden kan net zo moeilijk te onthouden zijn als een bijzonder lastig wachtwoord, en veel mensen slaan deze op in de kluis van hun wachtwoordbeheerder. En, zoals De rand Volgens rapporten is dat geweldig nieuws voor hackers, die miljoenen dollars aan crypto lijken te hebben gestolen.
Nick Bax, directeur analyse bij Unciphered, heeft een enorme hoeveelheid crypto-diefstalgegevens beoordeeld die zijn opgegraven door Taylor Monahan van Metamask en andere onderzoekers. In september 2023 vertelde hij KrebsonVeiligheid dat criminelen crypto hadden verplaatst “van meerdere slachtoffers naar dezelfde blockchain-adressen, waardoor het mogelijk werd om die slachtoffers sterk met elkaar te verbinden.”
Na het identificeren en interviewen van de slachtoffers kwam hij tot de conclusie dat de enige gemeenschappelijke factor was dat ze LastPass gebruikten om hun crypto-zaadzinnen op te slaan.
Bax dringt er nu bij vrienden en familie die LastPass gebruiken op aan om al hun wachtwoorden te wijzigen en eventuele blootgestelde cryptovaluta te migreren.
Criminelen hebben ruimschoots de tijd gehad om gestolen coderingssleutels te gebruiken om gestolen wachtwoordkluizen te openen.
Hoewel het logisch is dat dieven zich eerst richten op gemakkelijk overdraagbare crypto-activa, is het ook waarschijnlijk dat ze al uw opgeslagen LastPass-wachtwoorden al hebben onthuld. Ze hebben geen tijdsdruk en zullen uiteindelijk bij minder waardevolle hulpbronnen terechtkomen.
Hoewel ze zich mogelijk niet rechtstreeks richten op e-mailaccounts, PayPal-portemonnees of banken, kunnen deze activa worden verpakt en verkocht aan andere criminele derde partijen.
Als een van de wachtwoorden die vóór 2022 in een LastPass-kluis zijn opgeslagen, nog steeds in gebruik is, moet u deze onmiddellijk wijzigen.
