Er zijn meldingen binnengekomen dat digitale activa ter waarde van ongeveer $4,4 miljoen zijn gestolen van meer dan 80 adressen die toebehoren aan 25 gebruikers van de wachtwoordbeheer-app Lastpass. Deze ernstige inbreuk op de beveiliging heeft de aandacht getrokken van crypto-diefstalonderzoeker ZachXBT, die de inbreuk opmerkte.
Meer dan 80 adressen gecompromitteerd
De diefstal, die op 25 oktober heeft plaatsgevonden, wordt vermoedelijk het werk van één enkele bedreigingsacteur te zijn. Op het moment van schrijven zijn meer dan 80 verschillende adressen gecompromitteerd, van ongeveer 25 gebruikers.
Een analyse van de inbreuk, gepubliceerd op Chainabuse, suggereert dat de diefstal mogelijk “verband houdt met een grotere zaak die teruggaat tot ten minste december 2022”. Zoals eerder gemeld door Bitcoin.com, werd de cloudgebaseerde opslagomgeving van de wachtwoordbeheer-app al in augustus 2022 geschonden, maar Lastpass heeft dit pas bevestigd op 22 december 2022.
Na de onthulling probeerde Lastpass bezorgde gebruikers gerust te stellen, maar dit werd grotendeels met scepsis ontvangen.
Andere slachtoffers aangemoedigd om transactiehashes van de diefstallen te delen
Ondertussen spoorde ZachXBT, in een waarschuwing gedeeld via het social mediaplatform X (voorheen Twitter), gebruikers van de wachtwoordmanager aan om hun wachtwoorden uit de app te verwijderen. Hij gaf het volgende aan:
“Alleen al op 25 oktober 2023 is er nog eens ~$4,4 miljoen weggehaald bij 25+ slachtoffers als gevolg van de LastPass-hack. Ik kan dit niet genoeg benadrukken: als je ooit denkt dat je je herstelzin of sleutels in Lastpass hebt opgeslagen, verhuis onmiddellijk je crypto-activa.”
De crypto-onderzoeker moedigde volgers, die mogelijk ook getroffen zijn door de Lastpass-hack, aan om de transactiehashes van de diefstallen te delen. Als gevolg hiervan leken sommige gebruikers op sociale media de slachtoffers de schuld te geven voor hun keuze om de wachtwoordbeheer-app in de eerste plaats te gebruiken. In reactie hierop suggereerde de online onderzoeker echter dat veel mensen, waaronder niet nader genoemde hooggeplaatste personen, de app gebruiken.
Het bericht Digitale activa ter waarde van ongeveer $4,4 miljoen gestolen verscheen eerst op CryptoBenelux.