Secondo l'investigatore on-chain ZachXBT, il 25 ottobre circa 25 utenti di criptovalute che utilizzano il famoso gestore di password LastPass hanno perso risorse digitali per un valore di oltre 4 milioni di dollari.
ZachXBT, in collaborazione con il collega investigatore Tayvano, ha fatto risalire l'exploit al dicembre 2022, quando LastPass ha confermato una violazione .
$ 4,4 milioni rubati ai clienti LastPass
All'epoca, LastPass affermò che gli hacker avevano copiato un backup dei dati del caveau dei clienti. Ciò includeva informazioni su nomi utente e password dei siti Web, note sicure e dati compilati nei moduli.
Da allora, i giocatori malintenzionati hanno prosciugato i portafogli appartenenti agli utenti crittografici che potrebbero aver salvato le loro frasi seme sulla piattaforma. I rapporti stimavano che da dicembre fossero stati rubati più di 35 milioni di dollari a oltre 150 vittime.
Un post del 27 ottobre di Tayvano ha rivelato che l'exploit più recente ha colpito circa 80 indirizzi crittografici appartenenti a queste 25 vittime. Con una perdita di 4,4 milioni di dollari.
"La maggior parte, se non tutte, delle vittime sono utenti LastPass di lunga data e/o confermano di aver archiviato le proprie chiavi/seed in LastPass", ha affermato Tayvano.
Gli esperti di sicurezza consigliano le azioni successive
Diversi esperti di sicurezza crittografica hanno consigliato agli utenti LastPass di mitigare ulteriori perdite derivanti dall'evento.
Tayvano ha detto che gli utenti che hanno avuto i loro portafogli prosciugati dovrebbero "mettersi in contatto e PRESENTARE UN IC3 SUBITO SE NON LO HAI GIÀ FATTO". L'IC3, abbreviazione di Internet Crime Complaint Center, è un hub centrale per la segnalazione del crimine informatico .
In un post separato del 22 ottobre su X, l'esperto di sicurezza ha ricordato alla comunità che ogni credenziale posseduta in LastPass in questo periodo dell'anno scorso dovrebbe essere considerata compromessa. Per questo motivo, Tayvano ha esortato la comunità a “dare priorità alla rotazione dei segreti più preziosi/più antichi + alla migrazione delle risorse oggi”.
Nel frattempo, ZachXBT consiglia vivamente che:
"Se ritieni di aver mai archiviato la frase seed o le chiavi in LastPass, migra immediatamente le tue risorse crittografiche."
LastPass consiglia inoltre ai propri utenti di non riutilizzare mai la propria password principale su altri siti Web e di ridurre al minimo i rischi modificando le password dei siti Web archiviati.
Per saperne di più: I 9 migliori canali Telegram per segnali crittografici nel 2023
Il post Violazione della sicurezza LastPass: 4,4 milioni di dollari in criptovalute rubati è apparso per la prima volta su BeInCrypto .