1 điểm bởi GN⁺ 2025-03-09 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các cơ quan điều tra liên bang Mỹ xác định vụ đánh cắp tiền mã hóa trị giá khoảng 150 triệu USD ($150m) xảy ra ngày 30/1/2024 có liên quan đến các kho mật khẩu bị đánh cắp trong vụ xâm nhập LastPass năm 2022
  • Văn phòng công tố liên bang Bắc California đã tiến hành thủ tục chính thức tịch thu khoảng 24 triệu USD ($24m) tiền mã hóa bị phong tỏa trong số tiền bị đánh cắp vào ngày 6/3/2025
  • Tài liệu tịch thu cho biết FBI và U.S. Secret Service tin rằng dữ liệu bị đánh cắp và mật khẩu lưu trong trình quản lý mật khẩu trực tuyến đã được dùng để truy cập tài khoản và đánh cắp tiền mã hóa
  • Các nhà nghiên cứu bảo mật xác nhận các nạn nhân có điểm chung là đã lưu cụm từ hạt giống tiền mã hóa trong “Secure Notes” của LastPass trước vụ xâm nhập năm 2022, dù không có các cuộc tấn công mở màn điển hình như SIM swapping
  • LastPass cho biết họ chưa từng nhận được bằng chứng mang tính quyết định chứng minh mối liên hệ này, nhưng mật khẩu chủ yếu của các tài khoản cũ còn yếu và số vòng lặp thấp vẫn là rủi ro cho các cuộc bẻ khóa ngoại tuyến

Vụ đánh cắp 150 triệu USD và thủ tục tịch thu

  • Văn phòng công tố liên bang Bắc California cho biết sau vụ đánh cắp 150 triệu USD tiền mã hóa xảy ra ngày 30/1/2024, họ đã tịch thu vào ngày 6/3/2025 lượng tiền mã hóa trị giá khoảng 24 triệu USD đã được thu hồi và phong tỏa
  • Nạn nhân trong tài liệu tịch thu chỉ được ghi là “Victim-1”, nhưng theo nhà nghiên cứu bảo mật blockchain ZachXBT, nạn nhân là Chris Larsen, đồng sáng lập nền tảng tiền mã hóa Ripple
  • ZachXBT được biết đến là người đầu tiên công khai vụ việc này
  • Động thái lần này là thủ tục cho phép cơ quan điều tra chính thức tịch thu số tiền đã bị phong tỏa trước đó

Mối liên hệ với vụ xâm nhập LastPass

  • Điểm cốt lõi của tài liệu tịch thu là U.S. Secret ServiceFBI đã đi đến cùng kết luận với phân tích của KrebsOnSecurity về vụ xâm nhập LastPass vào tháng 9/2023
  • Tháng 9/2023, các nhà nghiên cứu bảo mật cho rằng sau khi mật khẩu chủ của các kho mật khẩu bị đánh cắp từ LastPass năm 2022 bị bẻ khóa, nhiều nạn nhân đã liên tục bị đánh cắp tiền mã hóa trị giá hàng trăm nghìn đến hàng triệu USD
  • Tài liệu tịch thu có đoạn cho biết FBI đã điều tra vụ rò rỉ dữ liệu liên quan, và các điều tra viên trong vụ này đã trao đổi với các đặc vụ FBI để xác định rằng:
    • Dữ liệu bị đánh cắp và mật khẩu lưu trong tài khoản trình quản lý mật khẩu trực tuyến của nhiều nạn nhân đã được dùng để truy cập trái phép vào các tài khoản điện tử
    • Việc truy cập này đã dẫn đến thông tin, tiền mã hóa và các dữ liệu khác bị đánh cắp
  • Tài liệu cho biết có căn cứ hợp lý để tin rằng cùng một kẻ tấn công đã dùng mật khẩu bị đánh cắp lưu trong tài khoản trình quản lý mật khẩu trực tuyến của Victim-1 để truy cập trái phép vào ví hoặc tài khoản tiền mã hóa

Mô hình lặp lại ở các nạn nhân

  • Hai nhà nghiên cứu bảo mật Nick BaxTaylor Monahan khi điều tra hàng chục nạn nhân đã kết luận rằng không thấy các cuộc tấn công mở màn thường gặp trước những vụ đánh cắp tiền mã hóa lớn, gồm:
    • Xâm nhập tài khoản email
    • Xâm nhập tài khoản điện thoại di động
    • Tấn công SIM swapping
  • Điểm chung của các nạn nhân là đã lưu cụm từ hạt giống tiền mã hóa trong khu vực “Secure Notes” của tài khoản LastPass trước vụ xâm nhập năm 2022
  • Cụm từ hạt giống là mã bí mật cho phép truy cập vào tài sản tiền mã hóa, và bất kỳ ai có nó đều có thể truy cập số tài sản đó
  • Bax và Monahan cũng xác nhận một mô hình rút tiền chung: tiền bị đánh cắp nhanh chóng được chuyển qua nhiều tài khoản trung gian rải khắp các sàn giao dịch tiền mã hóa
  • Chính phủ cho biết vụ nạn nhân là đồng sáng lập Ripple cũng có mức độ phức tạp tương tự
    • Quy mô vụ đánh cắp và tốc độ phân tán dòng tiền cho thấy có thể cần nỗ lực của nhiều tác nhân độc hại
    • Hình mẫu này được cho là phù hợp với vụ xâm nhập trình quản lý mật khẩu trực tuyến và các vụ đánh cắp tiền mã hóa ở những nạn nhân tương tự

Phản bác của LastPass và diễn biến vụ xâm nhập năm 2022

  • LastPass cho biết họ chưa từng nhận được bằng chứng mang tính quyết định từ cơ quan điều tra liên bang hay bất kỳ nơi nào khác cho thấy vụ đánh cắp tiền mã hóa này có liên quan đến vụ xâm nhập LastPass
  • Công ty cho biết đã hợp tác chặt chẽ với nhiều đại diện cơ quan thực thi pháp luật kể từ khi công bố sự cố năm 2022
  • LastPass nói rằng họ đã đầu tư mạnh để tăng cường các biện pháp bảo mật và sẽ tiếp tục làm như vậy
  • Diễn biến công bố vụ xâm nhập năm 2022 thay đổi theo từng giai đoạn
    • Ngày 25/8/2022, CEO LastPass Karim Toubba thông báo với người dùng rằng công ty phát hiện hoạt động bất thường trong môi trường phát triển phần mềm, và kẻ xâm nhập đã đánh cắp một phần mã nguồn cùng thông tin kỹ thuật độc quyền
    • Ngày 15/9/2022, LastPass cho biết kết quả điều tra vụ xâm nhập tháng 8 cho thấy kẻ tấn công không truy cập được dữ liệu khách hàng hay kho mật khẩu
    • Ngày 30/11/2022, công ty thông báo cho khách hàng về một sự cố bảo mật nghiêm trọng hơn sử dụng dữ liệu bị đánh cắp từ vụ xâm nhập tháng 8, đồng thời công bố rằng các bản sao mã hóa của một số kho mật khẩu cùng dữ liệu cá nhân khác đã bị xâm phạm

Bẻ khóa ngoại tuyến và rủi ro với các tài khoản cũ

  • Các chuyên gia cho rằng vụ xâm nhập đã khiến kẻ tấn công có quyền truy cập ngoại tuyến vào các kho mật khẩu đã mã hóa, từ đó có thể bẻ khóa các mật khẩu chủ yếu bằng hệ thống mạnh trong thời gian dài
  • Các hệ thống như vậy có thể thử hàng triệu lần đoán mật khẩu mỗi giây
  • Các nhà nghiên cứu cho rằng nhiều nạn nhân của các vụ đánh cắp tiền mã hóa dùng mật khẩu chủ có độ phức tạp tương đối thấp và thuộc nhóm khách hàng LastPass lâu năm
  • Những người dùng LastPass cũ có khả năng cao hơn đã được bảo vệ bằng số vòng lặp (iterations) ít hơn nhiều cho mật khẩu chủ
    • Số vòng lặp là số lần mật khẩu được đưa qua quy trình mã hóa của công ty
    • Nói chung, số vòng lặp càng cao thì kẻ tấn công ngoại tuyến càng mất nhiều thời gian hơn để bẻ khóa mật khẩu chủ
  • Theo thời gian, LastPass đã yêu cầu người dùng mới đặt mật khẩu chủ dài và phức tạp hơn, đồng thời cũng tăng mạnh số vòng lặp qua nhiều lần
  • Các nhà nghiên cứu cho rằng họ đã tìm thấy dấu hiệu mạnh cho thấy LastPass không thành công trong việc nâng cấp nhiều khách hàng cũ lên các yêu cầu mật khẩu và mức bảo vệ mới

Cảnh báo từ các nhà nghiên cứu và rủi ro còn lại

  • Bax cho biết sau cảnh báo năm 2023, ông hy vọng mọi người sẽ chuyển tiền sang ví tiền mã hóa mới, nhưng chỉ một phần làm vậy và các vụ đánh cắp vẫn tiếp diễn
  • Bax nói việc Secret Service và FBI xác nhận phân tích của các nhà nghiên cứu là có ý nghĩa, nhưng tốt hơn vẫn là chính các vụ hack như vậy giảm đi
  • Bax cho rằng mối đe dọa vẫn rất thực tế, khi ZachXBT và SEAL 911 còn báo cáo một làn sóng đánh cắp khác vào tháng 12/2024
  • Monahan chỉ trích LastPass vì đến nay vẫn chưa thông báo cho khách hàng rằng thông tin bí mật được lưu trữ — bao gồm các bí mật lưu trong “Secure Notes” — có thể đang gặp rủi ro
  • Monahan cho rằng LastPass lẽ ra có thể khuyến nghị người dùng thay đổi thông tin xác thực và đã có thể ngăn các tác nhân đe dọa đánh cắp số tiền lên tới hàng triệu USD

1 bình luận

 
GN⁺ 2025-03-09
Các ý kiến trên Hacker News
  • 1Password đã chọn mã hóa tất cả các vault bằng khóa bí mật entropy cao được truyền giữa các thiết bị, và có vẻ điểm này chưa được ghi nhận đủ
    Trải nghiệm người dùng và gánh nặng hỗ trợ chắc chắn đã tăng lên, nhưng lựa chọn đó có lẽ đã khiến những sự cố xâm nhập kiểu này về cơ bản không gây thiệt hại lớn

    • Bitwarden cũng xứng đáng được ghi nhận hơn vì là mã nguồn mở hoàn toàn, và có Vaultwarden, một triển khai máy chủ độc lập tương thích với các client chính thức
      Có thể tự chạy nó trên một máy ảo ở máy chủ dưới bàn làm việc
      Không biết 50 năm nữa các công ty kiểu này còn tồn tại hay không, nhưng nếu các cháu tôi muốn, có lẽ chúng vẫn có thể mở tệp gzip được mã hóa bằng gpg mà tôi để lại với bản mã của mình và xem các mật khẩu trong CSV
    • Trong tình huống khôi phục, tôi lại nghĩ như vậy chẳng phải sẽ mất sạch mọi thứ sao
      Nếu mất tất cả máy tính vì hỏa hoạn hoặc lũ lụt thì khóa khôi phục cũng biến mất, và chỉ với mật khẩu thì không thể khôi phục cơ sở dữ liệu
      Tôi dùng KeePassXC với mật khẩu hơi dài và số vòng lặp PBKDF cao; dù mất thiết bị, việc khôi phục không cần một thiết bị cụ thể nào
    • Mức đó ngày nay là yêu cầu cơ bản rồi
      LastPass mới là bên không đạt chuẩn
  • LastPass đã giảm nhẹ mức độ sự cố xâm nhập, và hóa ra họ cũng không mã hóa đúng cách các dữ liệu như vùng ghi chú
    Lẽ ra họ phải bị kiện đến tan nát, nhưng đến nay coi như vẫn thoát trách nhiệm
    LastPass chỉ có một việc phải làm, và họ đã thất bại. Việc họ biết mật khẩu chính của người dùng không đủ an toàn mà vẫn không chủ động thông báo hay xử lý trước là điều khó tha thứ
    Nếu hiện đang dùng LastPass, tốt nhất là hôm nay hãy chuyển sang các lựa chọn đáng tin hơn như 1Password, Bitwarden, KeePass, và đổi tất cả mật khẩu quan trọng với mình

    • Nói để ghi nhận thì thực tế LastPass đang đối mặt với một vụ kiện lớn
      https://www.courtlistener.com/docket/66607916/debt-cleanse-g...
      Phải tự xem hồ sơ vụ việc, nhưng đây là kiện tập thể nên nếu thua sẽ bị ảnh hưởng nặng, còn nếu thắng thì chi phí cũng không nhỏ
      Có vẻ tòa đang gộp nhiều vụ vào vụ này; đến nay LastPass đã bị kiện 15 lần tại tòa liên bang
      https://www.courtlistener.com/?q=lastpass%20AND%20(caseName%...
    • Tôi đã chuyển sang Bitwarden vài năm trước và hầu như không gặp trở ngại gì
      Xuất dữ liệu từ LastPass, nhập vào Bitwarden, rồi làm quen với vài UI quirks bất đắc dĩ là xong
    • Tôi đã dùng 1Password trong vài năm qua và khá hài lòng, nhưng điều đáng tiếc là sau 1Password 7 họ gần như ép dùng dịch vụ đám mây thuê bao thay vì kho lưu trữ iCloud miễn phí
  • Tôi hơi bối rối về việc vụ hack LastPass đã dẫn đến lộ mật khẩu như thế nào
    Theo cách tôi hiểu về mô hình của 1Password thì việc đó vẫn phải rất khó hoặc bất khả thi, nên tôi tò mò mình đang hiểu sai điều gì về trình quản lý mật khẩu hoặc cách LastPass hoạt động
    Tôi hiểu rằng ở 1Password, khóa giải mã được chia thành một mật khẩu duy nhất của người dùng và một khóa bí mật, và cần cả hai để giải mã vault
    Khóa bí mật được tạo ngẫu nhiên và có vẻ khoảng 128 bit; theo tôi biết, dù 1Password tạo rồi gửi cho người dùng hay được tạo cục bộ, sau đó họ cũng không nhìn thấy lại nữa
    Vì vậy, ngay cả khi vault bị đánh cắp, kẻ tấn công không chỉ phải phá mật khẩu vốn có thể tương đối yếu mà còn phải phá khóa bí mật 128 bit, nên chẳng phải ít nhất vẫn có mức bảo mật 128 bit sao
    LastPass khác ở điểm nào? Khóa bí mật cũng bị đánh cắp cùng lúc à? Những người có vault bị đánh cắp bị tấn công bổ sung nên khóa bí mật cũng bị lấy mất à? LastPass không dùng cấu trúc tương tự 1Password sao? Hay 1Password không an toàn như tôi tưởng khi sử dụng?

    • LastPass không dùng khái niệm khóa bí mật của 1Password, mà chỉ dùng khóa dẫn xuất từ mật khẩu
      Sau sự cố, họ vội tăng số vòng lặp băm [1], và cũng bổ sung tính năng cho quản trị viên doanh nghiệp đặt số vòng lặp tối thiểu [2], nhưng lúc đó đã quá muộn
      [1] https://palant.info/2022/12/28/lastpass-breach-the-significa...
      [2] https://support.lastpass.com/s/document-item?language=en_US&...
    • LastPass lưu trữ metadata của vault mà không mã hóa
      Metadata có chứa thông tin như URL, giúp kẻ tấn công ưu tiên bẻ những vault có giá trị cao hơn
      Nếu một vault chỉ có đăng nhập facebook.com và google.com thì bỏ qua; còn nếu có coinbase và 10 trang tiền mã hóa khác thì bỏ ra vài nghìn đô để thử bẻ
      Nguồn: https://github.com/cfbao/lastpass-vault-parser/wiki/LastPass...
    • Về cơ bản, tôi hiểu là LastPass biết mật khẩu của người dùng, còn 1Password thì không
      Nói cách khác, LastPass nắm toàn bộ khóa
      Tuy nhiên, trong môi trường doanh nghiệp, vì có thể đặt lại mật khẩu khi người dùng quên, nên 1Password cũng có thể “biết” mật khẩu của người dùng
      Có khả năng các phiên bản cũ hoặc phiên bản cá nhân an toàn hơn
  • Tôi rời LastPass vào khoảng năm 2013, sau vụ vi phạm bảo mật lớn thứ hai
    Trên Wikipedia chỉ liệt kê tổng cộng 3 sự cố, nhưng tôi nhớ từ năm 2010 đến nay đã thấy trên báo chí ít nhất 5 vụ
    Trong suốt thời gian đó tôi vẫn tiếp tục gặp LastPass ở các công ty, và lần nào cũng thật sự ngạc nhiên. Bị lừa đến lần thứ năm thì phải gọi là gì đây…

    • Không hiểu sao chuyện này lại hợp pháp được
      Giờ có lẽ nó thực tế đã trở thành thông lệ kinh doanh rồi
      Khi xảy ra ngộ độc thực phẩm thì chính phủ đóng cửa nhà hàng, vậy tại sao trong trường hợp này lại không làm gì?
      Hơn nữa, nếu xem toàn bộ số tiền này đều chảy sang các quốc gia thuộc trục đối địch thì còn nghiêm trọng hơn nhiều
  • Tôi hiểu vì sao LastPass cho rằng không có bằng chứng liên hệ giữa hai vụ
    Nhưng cũng khó tin là những người lưu giữ “tài sản sưu tầm” trị giá hàng triệu USD lại không đổi mật khẩu ít nhất mỗi năm
    Tôi biết việc đổi mật khẩu định kỳ vô mục đích không còn là thực hành tốt nhất nữa, nhưng trong trường hợp này chẳng phải vẫn là một biện pháp khá thận trọng sao?

    • Cụm từ seed của ví phái sinh không thể thay đổi
      Phải tạo ví mới và chuyển tài sản sang
  • Nhìn KeePassXC cục bộ của mình và vẫn bình thản tiếp tục dùng như cũ

    • Kiểu quyền kiểm soát này ngày càng trở thành một thứ xa xỉ
      Tôi không biết làm sao có thể quay lại trạng thái đơn giản. Ví dụ một gia đình 3 người có các dịch vụ và tài khoản dùng chung, nếu muốn để mọi thứ trong KeePass thì phải tự xử lý đồng bộ tệp giữa tất cả thiết bị và hệ điều hành
      Trong quá trình đó, thông tin xác thực có thể đi qua một dịch vụ đồng bộ của bên thứ ba, và như vậy phần lớn lợi thế của KeePass sẽ biến mất
      Chuyển sang một instance kiểu Bitwarden tự host có thể là hướng đúng, nhưng khi đó một thành viên trong gia đình sẽ phải trở thành quản trị viên hệ thống chuyên trách suốt đời, vừa giữ instance đó an toàn vừa bảo đảm có thể truy cập mọi lúc mọi nơi
    • Chúng chỉ có thể lấy tệp khóa ngoại tuyến của tôi từ ổ cứng đã chết lạnh của tôi mà thôi
      Có những thứ không nên được đưa lên Internet
    • Tôi tò mò là mọi người đồng bộ giữa các thiết bị như điện thoại thế nào
      Còn các tính năng như chia sẻ trong gia đình hay truy cập khẩn cấp thì xử lý ra sao?
  • Họ bảo hãy đưa mật khẩu lên đám mây, và sẽ chẳng có chuyện gì xảy ra đâu

    • Tôi từng nghe câu rằng đám mây chỉ là trung tâm dữ liệu của người khác nằm sau một API
      Nhưng mọi người có nghe không? Không
  • Sau từng ấy thời gian, việc tập trung hóa thông tin xác thực của tất cả mọi người vẫn có vẻ là ý tưởng nguy hiểm nhất
    Nếu có thứ gì hấp dẫn hacker hơn thì chắc chỉ có tình dục và ma túy miễn phí, nhưng thứ đó cũng chỉ nhất thời, rồi cuối cùng họ sẽ quay lại để đánh cắp thông tin xác thực của mọi người
    Còn rất nhiều mục tiêu khác nữa. Thông tin định danh cá nhân của mọi người, thông tin bạn bè·gia đình·thú cưng, câu trả lời câu hỏi bảo mật, ID di động, số PIN, số tài khoản, chữ ký, ảnh, dấu vân tay, mẫu giọng nói, quét khuôn mặt·võng mạc, dáng đi, DNA, thậm chí cả RNA ty thể

    • Tôi cũng có phàn nàn tương tự, nhưng nhìn tổng thể thì tôi thấy việc dùng mật khẩu ngẫu nhiên cho từng tài khoản quan trọng hơn
      Vaultwarden tự host là tốt nhất. Hoặc đừng làm hỏng việc
  • Tôi tò mò những người quan tâm đến bảo mật quản lý mật khẩu thế nào
    Có vẻ hoặc là dùng cùng một mật khẩu ở mọi nơi, hoặc cần một trình quản lý mật khẩu dưới hình thức nào đó, nhưng tôi luôn lo rằng nếu gom tất cả mật khẩu vào một chỗ thì khi bị lộ sẽ không chỉ mất một cái mà mất hết
    Nhiều giải pháp dường như cũng phải đánh đổi về sự tiện lợi
    Có thể để một tập hồ sơ vật lý ghi mật khẩu trong phòng làm việc ở nhà, nhưng mỗi lần tìm rồi nhập sẽ phiền, và đó là rủi ro lớn đối với bất kỳ ai có thể tiếp cận nhà bạn về mặt vật lý

    • Xét về tính dễ dùng thì cứ dùng Bitwarden
      Nếu có thể và thích tự host thì Vaultwarden cũng tốt
      Miễn là còn kết nối Internet, ở một thời điểm nào đó bạn vẫn phải tin tưởng ai đó; dùng kèm xác thực hai bước mạnh (không phải SMS/email) và sao lưu vault sẽ giúp giảm rủi ro
      Sau khi đưa vào vault, đến một lúc nào đó bạn nên đặt lại toàn bộ mật khẩu
      Dùng tiện ích mở rộng hoặc ứng dụng Bitwarden để tạo mật khẩu dài, ngẫu nhiên là đủ dễ
      Tốt nhất cũng nên bật xác thực hai bước mạnh cho từng dịch vụ
      https://bitwarden.com/help/setup-two-step-login/
      https://bitwarden.com/resources/guide-how-to-create-and-stor...
    • Khi có thể thì dùng passkey gắn với phần cứng thực sự, như giải pháp dựa trên TPM của Windows Hello; còn nơi nào không hỗ trợ thì dùng KeePass
      Cơ sở dữ liệu KeePass được đồng bộ qua đám mây, nhưng tệp passkey dùng cùng mật khẩu để mở thì không rời khỏi máy đó
      Ngoài ra, tệp khóa cần quyền quản trị để đọc nên tôi chạy KeePass ở trạng thái nâng quyền, nhờ đó không gian bộ nhớ của tiến trình cũng được bảo vệ khỏi việc bị soi từ vùng người dùng
    • Tôi dùng một thuật toán đơn giản
      Không phải nhớ mật khẩu thật, mà nhớ thuật toán tạo ra mật khẩu riêng cho từng trang hoặc dịch vụ
      Không hoàn hảo, nhưng phần lớn mật khẩu tạo ra đều là duy nhất
      Không biết các chuyên gia sẽ nhìn nhận thế nào, nhưng với tôi nó vẫn hoạt động tốt
    • Tự host trình quản lý mật khẩu không phải chuyện nhỏ, nhưng hoàn toàn khả thi
  • Tôi nhớ khi LastPass mới xuất hiện, mọi người đều nghĩ nó yếu và không đáng tin
    Pepperidge Farm vẫn nhớ

    • Tôi từng được Lujo Bauer, một giáo sư kiêm nhà nghiên cứu bảo mật nghiên cứu rất nhiều về bảo mật mật khẩu, giới thiệu LastPass
      Tuy nhiên đó là vào khoảng năm 2013, khi nó vẫn còn là startup giai đoạn đầu
      Điều tệ hơn số vòng lặp thấp của hash mật khẩu là việc tôi không biết rằng khi dùng LastPass, rất nhiều metadata không được mã hóa, và điều đó khiến tôi rất lo
      Khi đó cũng như bây giờ, tôi dùng mật mã 96 bit, nên xét từ góc độ tấn công ngoại tuyến thì có lẽ vẫn an toàn trước vụ xâm nhập, nhưng metadata chắc đã bị lộ nên vẫn thấy khó chịu
      Tôi đã chuyển sang 1Password vào năm 2017, nên hy vọng họ đã xóa dữ liệu của tôi trước vụ xâm nhập, nhưng ai mà biết được
    • Tôi muốn biết nguồn
      Mối lo đó có từng được trình bày rõ ràng, chứ không chỉ là kiểu nói mơ hồ như “trình quản lý mật khẩu là điểm lỗi đơn nhất!” không?