Potrjeno: vdor v LastPass leta 2022 omogočil milijonske kraje kriptovalut
Vdor v upravljalnik gesel LastPass, ki se je zgodil leta 2022, je imel resne posledice, so potrdili ameriški preiskovalci. Do enakih zaključkov je že leta 2023 prišel Bruce Schneier, sedaj pa je enako moč prebrati tudi v uradni obtožnici zoper odgovore za več kraj kriptovalut. Škoda je presegla 150 milijonov dolarjev.
Tožilstvo v Kaliforniji je v začetku marca zaseglo za 24 milijonov dolarjev kriptovalut, ki izvirajo iz 150-milijonske kraje v začetku leta 2024. Ta je bila le ena v serij tatvin, ki jih je omogočil vdor v LastPass. Tam so napadalci dobili – sicer šifrirana glavna gesla – in kdor je imel prešibkega, so ga lahko zlomili in pridobili dostope do različnih storitev.
Šlo je za več kraj vsak mesec, v katerih so ukradli vsaj nekaj sto tisoč dolarjev. Nobena izmed žrtev pred tem ni bila tarča klasičnih korakov, kot so napadi na elektronsko pošto, zamenjava SIM, družbeni inženiring in podobni, ki omogočajo dostop. V vseh primerih je zadostovalo geslo, ki so ga zlomili iz LastPassa.
LastPass zanika navedbe in trdi, da ni nobenih dokazov, da so napadalci gesla pridobili od njih. Dodajajo, da so napad razkrili že leta 2022 in vse stranke pozvali k ukrepanju za zaščito. Danes naj bi bila zaščita boljša, ker morajo stranke izbrati daljša in varnejša gesla.
