Taylor Monahan (product manager di MetaMask) e diversi esperti di sicurezza hanno scoperto che, a partire da fine dicembre 2022, oltre 150 persone hanno subito il furto di oltre 35 milioni di dollari in criptovalute. Dopo una lunga ricerca è stata individuata la connessione tra le vittime: LastPass.
Data breach di LastPass e chiavi private
LastPass ha subito due gravi data breach a fine agosto 2022 e a fine novembre 2022. A fine febbraio 2023, LastPass ha svelato che i cybercriminali hanno utilizzato le informazioni ottenute durante il primo data breach (le credenziali di login di un ingegnere) per accedere al servizio di cloud storage (AWS S3), in cui erano conservati i dati degli utenti, durante il secondo data breach.
Taylor Monahan ha scoperto che quasi tutte le persone derubate avevano memorizzato in LastPass la cosiddetta “seed phrase”, ovvero la chiave privata che permette di accedere al wallet delle criptovalute. I vault di LastPass sono cifrati con la master password, ma i cybercriminali hanno probabilmente effettuato un attacco brute force, usando le potenti schede video di oggi, riuscendo a trovare le master password e quindi ad accedere alle seed phrase nei vault salvati sul cloud.
I cybercriminali hanno rubato oltre 35 milioni di dollari in criptovalute. I fondi sono stati quindi trasferiti su altri wallet e successivamente riciclati attraverso vari exchange. Un portavoce di LastPass non ha rilasciato commenti sulla ricerca, dichiarando che sono ancora in corso indagini da parte delle forze dell’ordine.
Gli utenti devono ovviamente cambiare la master password di LastPass. Le chiavi private dei wallet devono essere conservate su wallet hardware offline.