Nie przechowujcie frazy seed w aplikacjach do zapisywania haseł! Użytkownicy LastPass stracili łącznie 35 mln dolarów

30 października 2023 13:46

W tym artykule:

Użytkownicy aplikacji LastPass, która służy do przechowywania w chmurze haseł dostępu, boleśnie przekonali się o tym, że tego typu rozwiązanie nie jest w stu procentach bezpieczne. Po zeszłorocznym ataku na ten protokół doszło do wycieku wielu wrażliwych danych, przez co inwestorzy potracili miliony dolarów.

Niestety, cyberprzestępcy dalej stanowią poważny problem w branży cyfrowych aktywów, o czym świadczy liczba hacków i exploitów na różne zdecentralizowane protokoły i giełdy.

Teraz blockchainowy detektyw – ZachXBT – przekazał, że w następstwie wycieku danych, jaki odnotowano w zeszłym roku w przypadku aplikacji LastPass, w ciągu jednego dnia okradziono jej użytkowników na łącznie 4,4 mln dolarów.

Użytkownicy LastPass okradzeni

W dniu 8 sierpnia 2022 roku doszło do naruszenia systemu LastPass, przez co hasła chronione przez tę aplikację dostały się w niepowołane ręce. Napastnik (lub grupa) zdołał przetrzeć się przez zabezpieczenia laptopa jednego z deweloperów, dzięki czemu wykradł z niego kod źródłowy, poufną dokumentację techniczną oraz wewnętrzne tajemnice firmy.

Idąc dalej, kilka dni później sprawca wyprowadził kolejny cios w formie kradzieży bazy danych klientów LastPass. Mówimy tutaj o bardzo wrażliwych informacjach, takich jak szczegóły poszczególnych kont, ich różne konfiguracje, metadane oraz opcje uwierzytelniania wieloskładnikowego. Teraz temat powraca do mediów po odnotowaniu kolejnego seryjnego incydentu związanego z użytkownikami ograbionej aplikacji.

Sprawę nagłośnił blockchainowy detektyw – ZachXBT – który wspólnie z jednym z twórców MetaMaska – Taylor’em Monahanem – monitorowali ruchy on-chain związane z atakiem przeprowadzonym przez tą samą osobę, która napadła w zeszłym roku na LastPass.

Jak przekazał w piątek ZachXBT, w dniu 25 października tego roku doszło do łącznej kradzieży kryptowalut o wartości 4,4 miliona dolarów. Naruszono przynajmniej 85 różnych adresów z cyfrowymi aktywami należącymi do 25 klientów aplikacji.

Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.

Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb

— ZachXBT (@zachxbt) October 27, 2023

ZachXBT zaapelował do wszystkich osób, które trzymały swoje hasła do kryptowalutowych portfeli, by niezwłocznie dokonano migracji środków na nowe adresy. Ten ruch pomoże im uchronić fundusze przed kolejnymi kradzieżami.

Kto poniesie odpowiedzialność za straty?

To nie jest pierwsza odnotowana sytuacja będąca pokłosiem kradzieży danych z sierpnia zeszłego roku. W sierpniu tego roku jeden z członków społeczności tzw. Crypto Twittera o nicku ”Tayvano” przekazał, że w ciągu roku dokonano wielu kradzieży powiązanych ze sprawą. Odnotowano bowiem wyprowadzenie z różnych adresów ponad 1200 BTC o ówczesnej wartości 32 milionów dolarów.

New totals. These are only counting cases that 1) we know about 2) are hard linked together on-chain.

This # represents the absolute minimum amount stolen by this threat group.

1200+ BTC.

$32+ million dollars.

All stolen from individuals who took steps to stay secure. pic.twitter.com/XvvrbwkZvp

— Tay 💖 (@tayvano_) August 30, 2023

Pojawia się więc pytanie, jak do całej sytuacji teraz ustosunkuje się LastPass. Bowiem użytkownicy aplikacji powierzyli jej swoje wrażliwe hasła w zaufaniu, że będą one bezpieczne. Jak się okazało, tak nie było.

Warto w tym miejscu zaznaczyć, że w dniu 25 sierpnia 2022 roku dyrektor generalny LastPass – Karim Toubba – przekazał na blogu firmy, że udało się powstrzymać napastników przed dobraniem się do wrażliwych informacji o jej klientach.

Pytanie, czy przedsiębiorca świadomie skłamał czy może faktycznie był przekonany, że nie doszło do poważnych strat.