A distanza di quasi un anno, i due data breach subiti da LastPass continuano a mietere vittime. Due ricercatori di sicurezza hanno scoperto che sono stati rubati circa 4,4 milioni di dollari in criptovalute, utilizzando le chiavi private memorizzate nel popolare password manager. Gli utenti non hanno quindi seguito i suggerimenti della software house.
Altri 4,4 milioni rubati
Due ricercatori (ZachXBT e Taylor Mohanan, product manager di MetaMask) hanno tracciato il furto delle criptovalute, scoperto che tutte le vittime hanno o avevano un account LastPass. In base agli ultimi dati, solo il 25 ottobre sono stato rubati circa 4,4 milioni di dollari dai wallet degli utenti.
Durante il primo data breach di agosto 2022, ignoti cybercriminali hanno ottenuto le credenziali di login al servizio AWS S3, utilizzate durante il secondo data breach di novembre 2022 per accedere ai vault degli utenti conservati sul cloud.
Il CEO di LastPass, Karim Toubba, aveva dichiarato che l’accesso ai vault cifrati è possibile solo conoscendo la master password. Gli utenti che hanno seguito i consigli della software house sono al sicuro. Alcuni utenti hanno invece scelto password deboli che non sono state resettate in seguito ai due data breach.
Quasi certamente, i cybercriminali hanno usato la tecnica “brute force” per trovare le password, con le quali hanno effettuato l’accesso ai vault contenenti chiavi private e passphrase dei portafogli di criptovalute. Lo scorso mese di settembre, Taylor Monahan e altri esperti di sicurezza avevano scoperto il furto di circa 35 milioni di dollari in criptovalute.