Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật (private key) và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Theo một bài đăng của ZachXBT trên mạng xã hội X, những kẻ đe dọa đã đánh cắp 4,4 triệu đô la từ hơn 25 nạn nhân do vi phạm LastPass vào năm 2022.
Vi phạm LastPass
Vào năm 2022, LastPass đã gặp phải hai vụ vi phạm dẫn đến việc các tác nhân đe dọa đã có thể đánh cắp mã nguồn, dữ liệu khách hàng và các bản sao lưu sản xuất (production backup) được lưu trữ trong các dịch vụ cloud, trong đó có chứa cả thông tin mật khẩu ở dạng mã hóa.
Vào thời điểm đó, Giám đốc điều hành LastPass Karim Toubba cho biết rằng mặc dù các mật khẩu đã được mã hóa bị đánh cắp nhưng chỉ có khách hàng mới biết mật khẩu chính (master password) để giải mã chúng.
Do đó, nếu bạn đang áp dụng các phương pháp bảo mật mật khẩu được LastPass khuyến nghị thì kho lưu trữ của bạn sẽ được an toàn.
Tuy nhiên, LastPass cảnh báo rằng đối với những người sử dụng mật khẩu yếu hơn thì nên thiết lập lại mật khẩu chính, vì mật khẩu yếu có thể dễ bị bẻ khóa hơn bằng cách sử dụng các công cụ chuyên dụng.
Theo nghiên cứu được thực hiện bởi Monahan và ZachXBT, các tác nhân đe dọa đang cố gắng bẻ khóa các kho lưu trữ mật khẩu bị đánh cắp này để có quyền truy cập vào các mật khẩu, thông tin xác thực và khóa bí mật của ví tiền điện tử đang được lưu trữ.
Sau khi có quyền truy cập vào thông tin này, những kẻ tấn công có thể tải, truy cập ví từ thiết bị của chúng và rút hết tiền của nạn nhân.
Vào tháng 11 năm 2022, dịch vụ quản lý mật khẩu LastPass đã tiết lộ một vụ vi phạm trong đó tin tặc đã đánh cắp kho mật khẩu chứa dữ liệu được mã hóa của hơn 25 triệu người dùng. Kể từ đó, một loạt các vụ trộm tiền điện tử nhắm vào những người có lưu ý về vấn đề bảo mật đã khiến một số chuyên gia bảo mật kết luận rằng kẻ gian có thể đã thành công trong việc bẻ khóa một số kho lưu trữ LastPass bị đánh cắp.
Kể từ cuối tháng 12 năm 2022, Taylor Monahan, giám đốc sản phẩm chính của MetaMask, một ví tiền điện tử phổ biến, cùng các nhà nghiên cứu khác đã xác định được một dấu hiệu chung cho thấy sự liên quan đến các vụ trộm gần đây nhắm vào hơn 150 người, họ đã bị cướp số tiền điện tử trị giá hơn 35 triệu đô la.
Vào tháng 8, Monahan cho biết: “Tại thời điểm này, trong hầu hết các trường hợp, các khóa bị xâm phạm đã bị đánh cắp từ LastPass”.
Ngày càng rõ ràng rằng các tác nhân đe dọa đằng sau cuộc tấn công LastPass đã bẻ khóa thành công mật khẩu được mã hõa bị đánh cắp và đang sử dụng thông tin này để thực hiện các cuộc tấn công của riêng chúng.
Do đó, nếu bạn là người dùng LastPass đã có tài khoản trong đợt vi phạm vào tháng 8 và tháng 12 năm 2022, bạn nên đặt lại tất cả mật khẩu của mình ngay để giảm thiểu các rủi ro tiềm ẩn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một số ứng dụng Android độc hại trên Google Play, đã có hơn 2 triệu lượt cài đặt, đang lén lút phát tán các quảng cáo không mong muốn đến người dùng trên các thiết bị bị nhiễm.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện ra một kỹ thuật tấn công kênh bên mới được gọi là iLeakage, hoạt động trên tất cả các thiết bị Apple gần đây và có thể trích xuất thông tin nhạy cảm từ trình duyệt web Safari.
Tín nhiệm mạng | F5 đã cảnh báo khách hàng về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến BIG-IP có thể dẫn đến việc thực thi mã từ xa mà không yêu cầu xác thực.
Tín nhiệm mạng | Lỗ hổng bảo mật nghiêm trọng trong quá trình triển khai Open Authorization (OAuth) cho các dịch vụ trực tuyến phổ biến như Grammarly, Vidio và Bukalapak đã được tiết lộ.
Tín nhiệm mạng | VMware đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng trong Máy chủ vCenter có thể dẫn đến việc thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Pwn2Own Toronto 2023 đã bắt đầu và đi được hơn một nửa cuộc thi với kết quả tính đến hết ngày thi thứ hai thì Viettel vẫn đang là đội dẫn đầu và đã giành được 120.000 USD tiền thưởng cùng với 18 điểm Master of Pwn