Peretas telah mencuri jutaan dolar mata uang kripto, tampaknya setelah pelanggaran LastPass. Inilah yang perlu Anda ketahui.
Hampir tidak ada satu minggu pun yang berlalu tanpa berita tentang pelanggaran data menjadi berita utama. Konsekuensi nyata tampaknya jarang terjadi, dan serangan yang berhasil sangat umum terjadi sehingga Anda tergoda untuk mengabaikannya dan melanjutkannya seperti biasa. Namun pelanggaran data LastPass pada tahun 2022 menyebabkan penjahat mengakses seluruh brankas kata sandi, yang menyebabkan serangkaian penolakan yang semakin tidak masuk akal dari perusahaan.
Kini, tampaknya peretasan LastPass telah menyebabkan penjahat dunia maya mencuri lebih dari $35 juta mata uang kripto.
Apa yang Terjadi pada Pelanggaran Data LastPass 2022?
Jika Anda menyadari perlunya menjaga keamanan akun online Anda, Anda memerlukan pengelola kata sandi. Daripada mengingat sendiri kata sandi yang kuat atau menggunakan kembali kata sandi yang sama untuk segala hal (yang kami sarankan melawan), pengelola kata sandi menghasilkan kredensial login untuk Anda, dan menyimpannya secara online terenkripsi kubah.
Dengan pengelola kata sandi yang baik, Anda dapat membuka kunci brankas Anda menggunakan kata sandi utama—memungkinkan pengelola kata sandi menggunakan serangkaian kredensial khusus situs untuk memasukkan Anda ke dalam.
Ketika Anda mulai mengandalkan pengelola kata sandi, Anda mempercayakannya pada email Anda, perbankan online Anda, skema hadiah toko Anda, dan ya, dompet kripto Anda.
Peretas membobol LastPass pada Agustus 2022, dan meskipun ada jaminan berulang kali dari perusahaan atas beberapa hal bulan, LastPass mengakui pada bulan Desember 2022 bahwa data pengguna pribadi bersama dengan brankas kata sandi terenkripsi telah dicuri dicuri. Sekitar waktu itu, MUO mulai menerima email dari pelanggan LastPass yang melakukan klaim penjahat secara aktif menggunakan kredensial mereka.
Meskipun ada spekulasi online, dan laporan tidak berdasar bahwa penjahat dapat membobol brankas kata sandi yang diunduh, LastPass terus menenangkan pelanggan dengan pernyataan bahwa dibutuhkan jutaan tahun untuk memecahkan kata sandi utama.
Mirip dengan pernyataan sebelumnya dari LastPass, kini muncul bahwa hal ini mungkin tidak sepenuhnya benar, dan ada jejaknya transaksi mencurigakan menunjukkan bukti bahwa data yang diambil dari brankas LastPass digunakan untuk mencuri digital aktiva.
Bagaimana Penjahat Menggunakan Kredensial LastPass yang Dicuri
Untuk masuk ke rekening bank Anda, Anda biasanya memerlukan lebih banyak otentikasi daripada kata sandi sederhana. Biasanya, bank Anda mengharuskan Anda menggunakan aplikasi khusus, verifikasi SMS, atau metode lainnya otentikasi multifaktor.
Ini tidak benar dompet kripto, biasanya diamankan menggunakan frase benih terdiri dari 12 kata atau lebih yang memberi Anda akses lengkap dan tidak terbatas ke dana kripto, kunci pribadi, dan transaksi. Hanya berbekal rangkaian kata-kata ini, penyerang dapat dengan cepat dan mudah menyedot dana Anda ke dalam ether.
Namun serangkaian kata acak yang panjang bisa jadi sama sulitnya untuk diingat seperti halnya kata sandi yang sangat rumit, dan banyak orang menyimpannya di brankas pengelola kata sandi mereka. Dan sebagai Tepi melaporkan, itu kabar baik bagi para peretas, yang tampaknya telah mencuri jutaan dolar dalam bentuk kripto.
Nick Bax, direktur analitik di Unciphered, telah meninjau sejumlah besar data pencurian kripto yang digali oleh Taylor Monahan dari Metamask dan peneliti lainnya. Pada September 2023, katanya Keamanan Krebson bahwa para penjahat telah memindahkan kripto "dari banyak korban ke alamat blockchain yang sama, sehingga memungkinkan untuk menghubungkan para korban tersebut dengan kuat."
Setelah mengidentifikasi dan mewawancarai korban, dia menyimpulkan bahwa satu-satunya faktor umum adalah mereka menggunakan LastPass untuk menyimpan frase benih kripto mereka.
Bax sekarang mendesak setiap teman dan keluarga yang menggunakan LastPass untuk mengubah semua kata sandi mereka dan memigrasikan kripto apa pun yang mungkin telah terekspos.
Penjahat punya banyak waktu untuk menggunakan kunci enkripsi curian untuk membuka brankas kata sandi curian.
Meskipun masuk akal jika pencuri akan menargetkan aset kripto yang mudah ditransfer terlebih dahulu, kemungkinan besar mereka juga telah mengungkapkan semua kata sandi LastPass Anda yang tersimpan. Mereka tidak mempunyai batasan waktu, dan pada akhirnya akan menggunakan sumber daya yang kurang berharga.
Meskipun mereka mungkin tidak secara langsung menargetkan akun email, dompet PayPal, atau bank, aset-aset ini dapat dikemas dan dijual ke pihak ketiga kriminal lainnya.
Jika salah satu kata sandi yang disimpan di brankas LastPass sebelum tahun 2022 masih digunakan, Anda harus segera mengubahnya.