ZachXBT, in samenwerking met mede-onderzoeker Tayvano, traceerde het misbruik terug naar december 2022, toen LastPass een inbreuk bevestigde.
$4,4 miljoen gestolen van klanten
Destijds meldde LastPass dat de hackers een back-up hadden gekopieerd van de gegevens van hun klantenkluis. Dit omvatte informatie over gebruikersnamen en wachtwoorden op websites, beveiligde notities en ingevulde formuliergegevens.
Sindsdien hebben kwaadwillende spelers portefeuilles geleegd die toebehoorden aan cryptogebruikers die mogelijk hun herstelzinnen op het platform hebben opgeslagen. Rapporten schatten dat er sinds december meer dan $35 miljoen is gestolen bij meer dan 150 slachtoffers.
Een bericht van Tayvano op 27 oktober onthulde dat de meest recente aanval ongeveer 80 adressen van deze 25 slachtoffers heeft getroffen, met een verlies van $4,4 miljoen als gevolg.
Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.
— ZachXBT (@zachxbt) October 27, 2023
Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb
"De meeste, zo niet alle, slachtoffers zijn al lange tijd gebruikers van LastPass en/of bevestigen dat ze hun sleutels of herstelzinnen in LastPass hebben opgeslagen," aldus Tayvano.
Advies van beveiligingsexperts
Verschillende beveiligingsexperts hebben advies gegeven aan gebruikers van LastPass om verdere verliezen te beperken door dit incident.
Tayvano zei dat gebruikers van wie de digitale portemonnees zijn geleegd "meteen contact moeten opnemen en NU EEN IC3 MOETEN INDIENEN ALS JE DAT NOG NIET HEBT GEDAAN." Het IC3, afgekort voor Internet Crime Complaint Center, is een centrale hub voor het melden van cybercriminaliteit.
In een aparte post van 22 oktober op X, herinnerde de beveiligingsexpert de gemeenschap eraan dat alle referenties die ze een jaar geleden in LastPass hadden, moet worden beschouwd als gecompromitteerd. Als gevolg hiervan drong Tayvano er bij de gemeenschap op aan om "prioriteit te geven aan het vervangen van je meest waardevolle/oudste geheimen + vandaag nog assets te migreren."
Ondertussen adviseerde ZachXBT sterk dat:
"Als je vermoedt dat je ooit je herstelzin of sleutels in LastPass hebt opgeslagen, migreer dan onmiddellijk je cryptotegoeden."
LastPass adviseerde zijn gebruikers ook om nooit hun hoofdwachtwoord op andere websites te hergebruiken en stelde voor het risico te minimaliseren door de wachtwoorden van opgeslagen websites te wijzigen.
