LastPass 安全漏洞事件始于 2022 年 12 月,当时攻击者窃取了大量数据,包括客户密钥和 API 令牌。
据区块链调查员ZachXBT报道,LastPass的黑客行为 allegedly 窃取了超过536万美元,涉及超过40个受害地址。
被盗资金被兑换为以太坊(ETH),并从以太坊转移到比特币(BTC)的各个即时交易所,ZachXBT在Telegram上写道。
LastPass的安全漏洞始于2022年12月,当时攻击者窃取了大量数据,包括客户密钥和API令牌。
去年,ZachXBT和MetaMask的开发者Taylor Monahan报告追踪了80个受损钱包的资金流动。这些钱包在2023年10月25日遭到了攻击,约25人据报道在加密货币中损失了440万美元。
与LastPass相关的另一轮加密黑客攻击在2024年2月被报告,造成超过620万美元的损失。
“这一点非常重要,如果你认为自己曾经在LastPass中存储过种子短语或密钥,请立即迁移你的加密资产,”ZachXBT在去年的一则帖子中写道。
2023年初,多名用户报告称,从钱包中失去了大量加密货币。LastPass存储了这些用户钱包的密钥。
在事件发生后,马萨诸塞州的美国地区法院于2023年1月对该公司提起了诉讼。法院指控该公司未能充分保护用户数据。
攻击显然使黑客能够访问在该平台工作的工程师的公司笔记本电脑。员工的笔记本电脑向他们提供了源代码、机密技术文档和内部系统秘密。
黑客还盗取了加密客户保险库数据的备份。如果攻击者通过暴力破解成功猜测了账户的主密码,这些数据可以被解密。
据Cryptonews去年报道,第一次泄露使攻击者能够提取LastPass 200个源代码库中的14个。这随后又发生了一次更广泛的攻击,导致获取了一份LastPass客户数据库的副本。