据一直在研究类似事件的加密货币欺诈研究人员称,10 月 25 日,黑客利用存储在被盗 LastPass 数据库中的私钥和口令盗取了 440 万美元的加密货币。这一消息来自 ZachXBT 和 MetaMask 开发人员泰勒-莫纳汉(Taylor Monahan),他们一直在追踪这些加密货币盗窃案。
"经常有人通过 DM 联系我们,说他们的加密资产被盗了。我们也会接触在链上发现的受害者,"ZachXBT表示。"我们会询问潜在的 LastPass 受害者多个问题,通常会发现他们都有一个共同点,那就是 LastPass。"
根据 ZachXBT 在 X 上发布的一条推文,由于 2022 年 LastPass 的漏洞,威胁行为者从 25 多名受害者那里窃取了 440 万美元。
2022 年,LastPass 遭遇了两次漏洞,最终让威胁分子窃取了源代码、客户数据和存储在云服务(包括加密密码库)中的生产备份。
当时,LastPass 首席执行官卡里姆-图巴(Karim Toubba)表示,虽然加密库被盗,但只有客户才知道解密所需的主密码。
因此,如果你遵循了 LastPass 推荐的密码最佳实践,你的密码保险箱应该是安全的。不过,LastPass 警告说,对于那些使用较弱密码的用户,建议重新设置主密码。
LastPass关于此次网络攻击的支持公告写道:"根据主密码的长度和复杂程度以及迭代次数设置,你可能需要重置主密码。"
之所以给出这样的建议,是因为较弱的密码更容易被专门的程序破解,这些程序会利用 GPU 对易于破解的密码进行暴力破解。
根据 Monahan 和 ZachXBT 所做的研究,人们认为威胁者正在破解这些被盗的密码保险库,以获取存储的加密货币钱包口令、凭证和私钥。
一旦获得这些信息,他们就可以将钱包加载到自己的设备上,并盗取其中的所有资金。根据布莱恩-克雷布斯(Brian Krebs)关于这项研究的报告,莫纳汉和其他研究人员已经生成了一个独特的签名,将超过 3500 万美元的盗窃案与相同的威胁行为者联系起来。
莫纳汉今年 8 月在Twitter上写道:"在这一点上,我也有信心说,在大多数情况下,被泄露的密钥都是从 LastPass 窃取的。只有特定的一组种子/密钥存储在 LastPass 中,而这些种子/密钥被盗用的受害者人数之多,根本不容忽视。"
越来越清楚的是,LastPass 攻击背后的威胁分子已经成功破解了保险库的密码,并利用窃取的信息进一步实施身份盗窃犯罪。
因此,如果你是在 2022 年 8 月和 12 月漏洞事件中拥有账户的 LastPass 用户,强烈建议你重置所有密码,包括你的主密码。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
