Người dùng ứng dụng quản lý mật khẩu LastPass hiện đã bị mất tài sản tiền điện tử trị giá 4,4 triệu USD chỉ trong một ngày. LastPass chia sẻ rằng tin tặc đã giành được quyền truy cập vào các khóa lưu trữ đám mây và khóa giải mã bộ chứa lưu trữ kép của họ.
Vụ hack ứng dụng LastPass đã được nhà điều tra ZachXBT tiết lộ thông qua một bài đăng X vào ngày 27 tháng 10. Thông qua một cuộc điều tra kết hợp với một điều tra viên có tài khoản X, @tayvano_, người ta phát hiện ra rằng khoảng 4,4 triệu đô la tài sản kỹ thuật số đã bị đánh cắp từ 85 ví riêng biệt của 25 người dùng LastPass.
Trong một lưu ý cảnh báo trong cùng một bài đăng, ZachXBT cũng cảnh báo tất cả người dùng LastPass chuyển tài sản tiền điện tử của họ sang địa chỉ ví mới để tránh thua lỗ trong tương lai.
LastPass cung cấp dịch vụ quản lý mật khẩu, giúp người dùng lưu trữ cụm từ hạt giống trong ví tiền điện tử của họ. Cụm từ hạt giống đại diện cho một tập hợp các từ duy nhất cho mỗi ví, cấp quyền truy cập vào tài sản được lưu trữ trong ví nói trên.
Vào ngày 8 tháng 8 năm 2022, một hacker đã giành được quyền truy cập vào máy tính xách tay công ty của một kỹ sư phần mềm LastPass, cho phép kẻ xấu xâm nhập vào hệ thống của công ty, đánh cắp một số mã nguồn, tài liệu kỹ thuật bí mật và bí mật hệ thống nội bộ.
Sử dụng dữ liệu này, hacker đã trích xuất 14 trong số 200 kho mã nguồn của LastPass. Trong vài ngày tiếp theo, hacker đã bắt đầu một cuộc tấn công lớn hơn, lấy được bản sao cơ sở dữ liệu khách hàng LastPass, nơi chứa các thông tin như thông tin tài khoản không được mã hóa, cùng với siêu dữ liệu và cài đặt liên quan như tùy chọn xác thực đa yếu tố.
Vào ngày 25 tháng 8 năm 2022, CEO Karim Toubba của công ty tuyên bố vụ hack đã được ngăn chặn và tuyên bố rằng dữ liệu bao gồm đã xuất hiện trong phần phát triển của nó, phần này không chứa bất kỳ dữ liệu người dùng cá nhân nào.
Tuy nhiên, trong một loạt tweet vào tháng 8 năm 2023, @tayvano_ tuyên bố rằng hơn 1200 BTC, trị giá 32 triệu USD, đã bị đánh cắp từ các ví được liên kết với người dùng LastPass trong năm ngoái sau vụ vi phạm bảo mật. Những báo cáo như vậy, cùng với vụ trộm cắp mới nhất, đã góp phần nâng cao lời kêu gọi người dùng bỏ địa chỉ ví được liên kết với dịch vụ quản lý mật khẩu.
Vụ hack ứng dụng LastPass đã được nhà điều tra ZachXBT tiết lộ thông qua một bài đăng X vào ngày 27 tháng 10. Thông qua một cuộc điều tra kết hợp với một điều tra viên có tài khoản X, @tayvano_, người ta phát hiện ra rằng khoảng 4,4 triệu đô la tài sản kỹ thuật số đã bị đánh cắp từ 85 ví riêng biệt của 25 người dùng LastPass.
Trong một lưu ý cảnh báo trong cùng một bài đăng, ZachXBT cũng cảnh báo tất cả người dùng LastPass chuyển tài sản tiền điện tử của họ sang địa chỉ ví mới để tránh thua lỗ trong tương lai.
LastPass cung cấp dịch vụ quản lý mật khẩu, giúp người dùng lưu trữ cụm từ hạt giống trong ví tiền điện tử của họ. Cụm từ hạt giống đại diện cho một tập hợp các từ duy nhất cho mỗi ví, cấp quyền truy cập vào tài sản được lưu trữ trong ví nói trên.
Vào ngày 8 tháng 8 năm 2022, một hacker đã giành được quyền truy cập vào máy tính xách tay công ty của một kỹ sư phần mềm LastPass, cho phép kẻ xấu xâm nhập vào hệ thống của công ty, đánh cắp một số mã nguồn, tài liệu kỹ thuật bí mật và bí mật hệ thống nội bộ.
Sử dụng dữ liệu này, hacker đã trích xuất 14 trong số 200 kho mã nguồn của LastPass. Trong vài ngày tiếp theo, hacker đã bắt đầu một cuộc tấn công lớn hơn, lấy được bản sao cơ sở dữ liệu khách hàng LastPass, nơi chứa các thông tin như thông tin tài khoản không được mã hóa, cùng với siêu dữ liệu và cài đặt liên quan như tùy chọn xác thực đa yếu tố.
Vào ngày 25 tháng 8 năm 2022, CEO Karim Toubba của công ty tuyên bố vụ hack đã được ngăn chặn và tuyên bố rằng dữ liệu bao gồm đã xuất hiện trong phần phát triển của nó, phần này không chứa bất kỳ dữ liệu người dùng cá nhân nào.
Tuy nhiên, trong một loạt tweet vào tháng 8 năm 2023, @tayvano_ tuyên bố rằng hơn 1200 BTC, trị giá 32 triệu USD, đã bị đánh cắp từ các ví được liên kết với người dùng LastPass trong năm ngoái sau vụ vi phạm bảo mật. Những báo cáo như vậy, cùng với vụ trộm cắp mới nhất, đã góp phần nâng cao lời kêu gọi người dùng bỏ địa chỉ ví được liên kết với dịch vụ quản lý mật khẩu.