Пробивът в сигурността на LastPass е довел до кражбата на милиони в крипто
Вероятно доста от вас са чували неведнъж напомнянията на експерти по сигурност да употребявате комплицирани и неповторими пароли, с цел да отбраните достъпа си до уеб страниците. Заедно с 2FA отбраната, вашата регистрация наподобява непробиваема, нали? Няма неразрушима отбрана обаче и в никакъв случай не е имало, има единствено възприятие за такава. Когато генерирате тези дълги и комплицирани 12-,14- или колкото и да е там символни пароли, вашият мозък няма по какъв начин да ги запомни. За тази цел на помощ идват мениджърите на пароли. Някои употребяват за тази цел офлайн такива, други избират удобството на онлайн уредниците на пароли, като водещ измежду тези стратегии години наред към този момент си остава LastPass. Когато обаче преди осем години те бяха добити от LogMeIn, мнозина показаха страховете си, че това е началото на края за обичаната им платформа. LogMeIn не е компания с уважавана история във връзка с сигурността. И може би са били прави.
Атаките към LastPass в последните години бяха не една и две, само че усещане вършат четири съответни от последните две години. Първо, в края на 2021 потребителите на LastPass започнаха да получават всеобщо известия за опити за опити за нерегламентиран вход в регистрациите им. От LastPass в типичния си жанр избраха да неглежират обстановката, само че предложиха да се сменят основните пароли (Защо, в случай че няма потребност от терзание?) През лятото на 2022 незнайна страна съумя да доближи до изходния код на програмата и други значими чувствителни данни. Впоследствие беше хакнато облачното вместилище на сътрудник на LastPass, като не стана известно какъв тъкмо е мащаба на офанзивата. Последва и новината за четвърти случай, обвързван с LastPass от края на предходната година. Този път обаче хакерите се разбра, че са откраднали и трезори на потребителите. „ Трезор “ е криптираният файл, обвързван с всеки консуматор и пазещ всичките му секрети. Впоследствие се оказа, че LastPass са позволили някои пропуски в обезпечаването на сигурността на трезорите, тъй че дори и с достъп до подобен, някой хакер да не може да го отключи. Това докара до отправянето на сериозна рецензия от експерти по сигурност, като в този момент се оказва, че тази рецензия не е била без съображение.
Споменавайки при започване на този текст препоръките на експерти и потреблението на мениджърите на пароли, то такива, евентуално знаете (помислете какъв брой от приятелите ви ползват), употребяват нормално механически грамотни консуматори, които постоянно би трябвало да защитят нещо скъпо. Нека да е вход за криптопортфейли. Защото точно това се е случило. И става дума за милиони долари в крипто. Друг въпрос тук би бил какъв брой механически грамотни са тези жертви да употребяват онлайн управител, а не офлайн, само че това е различен въпрос.
Decrypt.co привежда в материал от през днешния ден, че през последните месеци над 100 видимо добре предпазени крипопортфейли са били източени от милиони долари и никой не знае повода за това. Месеци наред експерти по сигурността се опитвали да разгадаят мистерията тъй като не става въпрос за проведени измамнически акции към засегнатите или някакви рискови дейности от тях онлайн. След всички благоприятни условия, специалистите се сплотяват, че точно офанзивата от декември предходната година, при която бяха откраднати трезори на LastPass е повода за източването на тези портфейли. Изданието оповестява, че тези офанзиви са отговорни за кражбата на най-малко $39 000 000 в крипто, като единствено през предходната седмица в кражба от над 25 крипопортфейла са отмъкнати $4.4 милиона.
Вълната от офанзиви предизвика Тейлър Монахан от MetaMask и други експерти незабавно да реалокират криптоактивите си другаде, в случай че са употребявали LastPass за предпазване на ключове или „ сийд “ фразата си. Изданието напомня и метода, по който LastPass се отнесоха към обстановката и противоположната връзка, която подадоха към своите консуматори.
„ LastPass към момента не са споделили някои сериозно значими детайлности по отношение на ситуацията със сигурността на системите им и нещата, които са били компрометирани от хакерите. Искам дебело да подчертая, че LastPass могат и би трябвало да свършат повече тук. Те са една непоносимо провалила се компания “, написа Монахън.
