Theo ZachXBT, khoảng 25 người dùng tiền điện tử sử dụng trình quản lý mật khẩu nổi bật LastPass đã mất tài sản kỹ thuật số trị giá hơn 4 triệu USD vào ngày 25 tháng 10.
ZachXBT, phối hợp với điều tra viên Tayvano, đã truy tìm hoạt động khai thác từ tháng 12 năm 2022, khi LastPass xác nhận một vi phạm.
4,4 triệu USD bị đánh cắp từ khách hàng LastPass
Vào thời điểm đó, LastPass cho biết hacker đã sao chép bản sao lưu dữ liệu kho tiền của khách hàng. Điều này bao gồm thông tin về tên người dùng và mật khẩu trang web, ghi chú bảo mật và dữ liệu điền vào biểu mẫu.
Kể từ đó, những kẻ lừa đảo độc hại đã rút hết ví của những người dùng tiền điện tử, những người có thể đã lưu cụm từ hạt giống của họ trên nền tảng. Các báo cáo ước tính hơn 35 triệu USD đã bị đánh cắp từ hơn 150 nạn nhân kể từ tháng 12.
Một bài đăng ngày 27 tháng 10 từ Tayvano tiết lộ rằng vụ khai thác gần đây nhất đã ảnh hưởng đến khoảng 80 địa chỉ tiền điện tử của 25 nạn nhân này. Kết quả là thiệt hai 4,4 triệu USD.
Tayvano cho biết: “Hầu hết, nếu không phải tất cả, nạn nhân là những người dùng LastPass lâu năm và/hoặc xác nhận đã lưu trữ khóa/hạt giống của họ trong LastPass”.
Các chuyên gia bảo mật tư vấn về các hành động tiếp theo
Một số chuyên gia bảo mật tiền điện tử đã tư vấn cho người dùng LastPass về cách giảm thiểu tổn thất thêm từ sự kiện này.
Tayvano cho biết những người dùng đã bị rút hết tiền nên “liên hệ và GỬI IC3 NGAY BÂY GIỜ NẾU BẠN CHƯA LÀM NHƯ VẬY”. IC3, viết tắt của Trung tâm Khiếu nại Tội phạm Internet, là trung tâm báo cáo tội phạm mạng.
Trong một bài đăng riêng ngày 22 tháng 10 trên X, chuyên gia bảo mật này đã nhắc nhở cộng đồng rằng mọi thông tin xác thực họ có trong LastPass vào thời điểm này năm ngoái sẽ bị coi là bị xâm phạm. Do đó, Tayvano kêu gọi cộng đồng “ưu tiên luân chuyển những tài sản có giá trị nhất ngay hôm nay”.
Trong khi đó, ZachXBT lại khuyến cáo mạnh mẽ rằng:
Nếu bạn cho rằng mình có thể đã từng lưu trữ cụm từ hoặc khóa gốc của mình trong LastPass, hãy di chuyển tài sản tiền điện tử của bạn ngay lập tức.
LastPass khuyên thêm người dùng không bao giờ sử dụng lại mật khẩu chính của họ trên các trang web khác và cũng giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà họ đã lưu trữ.
