Hacker haben scheinbar nach dem LastPass-Angriff Kryptowährungen im Wert von mehreren Millionen Dollar gestohlen. Folgendes müssen Sie wissen:
Es vergeht kaum eine Woche, ohne dass die Nachricht über eine Datenschutzverletzung Schlagzeilen macht. Wirkliche Konsequenzen sind scheinbar selten und erfolgreiche Angriffe so häufig, dass es fast verlockend ist, sie zu ignorieren und wie gewohnt weiterzumachen. Doch bei der LastPass-Datenpanne im Jahr 2022 verschafften sich Kriminelle Zugriff auf ganze Passwort-Tresore, was zu einer Reihe zunehmend unglaubwürdiger Dementis seitens des Unternehmens führte.
Nun scheint es, dass der LastPass-Hack Cyberkriminelle dazu veranlasst hat, Kryptowährungen im Wert von über 35 Millionen US-Dollar zu stehlen.
Was geschah bei der LastPass-Datenpanne im Jahr 2022?
Wenn Sie sich der Notwendigkeit bewusst sind, Ihre Online-Konten zu schützen, Sie benötigen einen Passwort-Manager. Anstatt sich sichere Passwörter selbst zu merken oder für alles dasselbe Passwort wiederzuverwenden (was wir empfehlen). dagegen) generiert ein Passwort-Manager Anmeldeinformationen für Sie und speichert sie verschlüsselt online Gewölbe.
Mit einem guten Passwort-Manager können Sie Ihren Tresor mit einem Master-Passwort entsperren, sodass der Passwort-Manager einen standortspezifischen Satz von Anmeldeinformationen verwenden kann, um Sie anzumelden.
Wenn Sie sich auf einen Passwort-Manager verlassen, vertrauen Sie ihm Ihre E-Mails, Ihr Online-Banking, Ihr Shop-Prämienprogramm und ja, Ihre Krypto-Wallet an.
Hacker drangen im August 2022 in LastPass ein, und das trotz wiederholter Zusicherungen des Unternehmens über mehrere Monate hinweg Monate später gab LastPass im Dezember 2022 zu, dass persönliche Benutzerdaten zusammen mit verschlüsselten Passwort-Tresoren gespeichert worden waren gestohlen. Ungefähr zu dieser Zeit begann MUO, E-Mails von LastPass-Kunden zu erhalten, die Ansprüche geltend machten Kriminelle nutzten aktiv ihre Anmeldeinformationen.
Trotz Online-Spekulationen und unbegründeten Berichten, wonach Kriminelle in heruntergeladene Passwort-Tresore eindringen konnten, LastPass beschwichtigte die Kunden weiterhin mit Aussagen, dass es Millionen von Jahren dauern würde, das Master-Passwort zu knacken.
Ähnlich wie bei früheren Aussagen von LastPass zeichnet sich nun ab, dass dies möglicherweise nicht ganz der Wahrheit entspricht Verdächtige Transaktionen deuten darauf hin, dass Daten aus LastPass-Tresoren zum Diebstahl digitaler Daten verwendet werden Vermögenswerte.
Wie Kriminelle gestohlene LastPass-Anmeldeinformationen verwenden
Um sich bei Ihrem Bankkonto anzumelden, benötigen Sie in der Regel mehr Authentifizierung als ein einfaches Passwort. Normalerweise verlangt Ihre Bank, dass Sie eine spezielle App, eine SMS-Verifizierung oder eine andere Methode verwenden Multifaktor-Authentifizierung.
Das trifft nicht zu Krypto-Wallets, die normalerweise durch eine Seed-Phrase gesichert sind aus 12 oder mehr Wörtern, die Ihnen vollständigen und uneingeschränkten Zugriff auf Kryptogelder, private Schlüssel und Transaktionen ermöglichen. Mit nichts als dieser Reihe von Worten bewaffnet, kann ein Angreifer Ihr Geld schnell und einfach in den Äther abschöpfen.
Aber eine lange Reihe zufälliger Wörter kann genauso schwer zu merken sein wie ein besonders kniffliges Passwort, und viele Leute speichern diese in den Tresoren ihres Passwort-Managers. Und wie Der Rand Berichten zufolge sind das großartige Neuigkeiten für Hacker, die offenbar Millionen von Dollar an Kryptowährungen gestohlen haben.
Nick Bax, Leiter der Analytik bei Unciphered, hat eine riesige Menge an Kryptodiebstahldaten überprüft, die von Taylor Monahan von Metamask und anderen Forschern ausgegraben wurden. Im September 2023 erzählte er KrebsonSicherheit dass Kriminelle Krypto „von mehreren Opfern auf die gleichen Blockchain-Adressen verschoben hatten, was es ermöglichte, diese Opfer stark miteinander zu verknüpfen“.
Nachdem er die Opfer identifiziert und befragt hatte, kam er zu dem Schluss, dass der einzige gemeinsame Faktor darin bestand, dass sie LastPass zum Speichern ihrer Krypto-Seed-Phrasen verwendeten.
Bax fordert nun alle Freunde und Familienangehörigen, die LastPass verwenden, auf, alle ihre Passwörter zu ändern und alle möglicherweise offengelegten Kryptowährungen zu migrieren.
Kriminelle hatten reichlich Zeit, gestohlene Verschlüsselungsschlüssel zu verwenden, um gestohlene Passwort-Tresore zu öffnen.
Es macht zwar Sinn, dass Diebe zunächst auf leicht übertragbare Krypto-Assets abzielen, es ist aber auch wahrscheinlich, dass sie bereits alle Ihre gespeicherten LastPass-Passwörter preisgegeben haben. Sie unterliegen keinen zeitlichen Einschränkungen und können irgendwann auf weniger wertvolle Ressourcen zurückgreifen.
Auch wenn sie möglicherweise nicht direkt auf E-Mail-Konten, PayPal-Geldbörsen oder Banken abzielen, können diese Vermögenswerte gebündelt und an andere kriminelle Dritte verkauft werden.
Wenn eines der vor 2022 in einem LastPass-Tresor gespeicherten Passwörter noch verwendet wird, sollten Sie es sofort ändern.
