Cơ quan liên bang xác nhận mối liên hệ giữa vụ hack LastPass năm 2022 và các vụ tống tiền trên mạng

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 2025-03-09 | 1 bình luận | Chia sẻ qua WhatsApp

  • Tháng 9/2023, vụ hack LastPass

    • KrebsOnSecurity đưa tin vào tháng 9/2023 rằng mật khẩu chủ của LastPass đã bị đánh cắp, dẫn đến các vụ trộm cắp mạng gây thiệt hại hàng trăm nghìn USD cho nhiều nạn nhân.
    • Các điều tra viên liên bang Mỹ khi điều tra vụ trộm tiền mã hóa trị giá 150 triệu USD xảy ra ngày 30/1/2024 cũng đi đến cùng kết luận.

  • Vụ trộm tiền mã hóa

    • Ngày 6/3/2024, các công tố viên liên bang ở Bắc California thông báo đã thu hồi khoảng 24 triệu USD tiền mã hóa sau vụ trộm cắp mạng trị giá 150 triệu USD.
    • Nạn nhân của vụ việc này được cho là Chris Larsen, đồng sáng lập Ripple.

  • Kết quả điều tra của các điều tra viên liên bang

    • Mật vụ Mỹ và FBI đã đưa ra cùng một kết luận về các vụ trộm liên quan đến vụ hack LastPass.
    • Họ xác nhận rằng dữ liệu và mật khẩu bị đánh cắp đã được dùng để truy cập trái phép vào tài khoản trình quản lý mật khẩu trực tuyến của nạn nhân nhằm đánh cắp tiền mã hóa và các dữ liệu khác.

  • Đặc điểm chung của các nạn nhân

    • Các nhà nghiên cứu bảo mật Nick Bax và Taylor Monahan phát hiện rằng các nạn nhân không hề gặp những kiểu tấn công điển hình như xâm nhập email, tài khoản di động hay SIM swapping.
    • Tất cả các nạn nhân đều đã lưu cụm từ hạt giống tiền mã hóa trong mục "Secure Notes" của tài khoản LastPass.

  • Mô hình trộm cắp phức tạp

    • Số tiền bị đánh cắp được chuyển rất nhanh qua nhiều tài khoản trên các sàn giao dịch tiền mã hóa khác nhau.
    • Chính phủ nhận định mô hình trộm cắp phức tạp này là kết quả của sự phối hợp giữa nhiều tác nhân độc hại.

  • Phản ứng của LastPass

    • LastPass khẳng định họ chưa thấy bằng chứng mang tính quyết định nào từ các điều tra viên liên bang hay từ các nguồn khác cho thấy các vụ trộm có liên quan đến vụ hack LastPass.
    • Tháng 8/2022, LastPass thông báo đã phát hiện hoạt động bất thường trong môi trường phát triển phần mềm và một phần mã nguồn cùng thông tin kỹ thuật đã bị đánh cắp.
    • Tháng 11/2022, LastPass thông báo cho khách hàng rằng két mật khẩu đã mã hóa và thông tin cá nhân đã bị xâm phạm.

  • Ý kiến của các chuyên gia bảo mật

    • Nhiều nạn nhân đã sử dụng mật khẩu chủ có độ phức tạp thấp, và nhiều khả năng đây là những khách hàng cũ của LastPass.
    • LastPass đã yêu cầu người dùng mới đặt mật khẩu phức tạp hơn, nhưng dường như không áp dụng điều này với các khách hàng cũ.

  • Cần tăng cường bảo mật

    • Các nhà nghiên cứu cho rằng LastPass lẽ ra nên khuyến nghị khách hàng thay đổi mật khẩu.
    • Bất chấp phản ứng mang tính phủ nhận của LastPass, các nhà nghiên cứu bảo mật nhấn mạnh rằng cần có thêm các biện pháp để ngăn chặn nhiều vụ hack hơn nữa.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-03-09
Ý kiến trên Hacker News
  • 1Password không được ghi nhận xứng đáng cho lựa chọn mã hóa mọi vault bằng secret key nâng cao. Điều này phải đánh đổi bằng trải nghiệm người dùng và gánh nặng hỗ trợ, nhưng nhờ đó ngay cả khi bị lộ dữ liệu cũng không trở thành vấn đề lớn
  • LastPass đã đánh giá thấp vụ rò rỉ dữ liệu và không mã hóa đúng cách những dữ liệu như phần ghi chú. Họ né tránh trách nhiệm, nhưng đáng ra phải bị kiện
  • LastPass biết mật khẩu master của người dùng không đủ an toàn nhưng không chủ động xử lý. Điều này không thể tha thứ được
  • Những ai đang dùng LastPass nên chuyển sang các lựa chọn đáng tin cậy hơn như 1Password, Bitwarden, Keepass, đồng thời đổi tất cả mật khẩu quan trọng
  • Tôi thấy khó hiểu việc vụ hack LastPass đã dẫn đến mất mật khẩu như thế nào. Tôi tưởng nó hoạt động giống 1Password, nếu vậy thì việc này lẽ ra vẫn phải cực kỳ khó hoặc bất khả thi. Có ai có thể giải thích password manager hoặc LastPass khác nhau ở điểm nào không?
  • 1Password có khóa giải mã được chia làm hai phần: mật khẩu duy nhất của người dùng + secret key. Cần cả hai. Secret key được tạo ngẫu nhiên, khoảng 128 bit. 1Password tạo ra và gửi cho người dùng, nhưng sau đó không còn nhìn thấy nữa. Kể cả khi vault bị đánh cắp, vẫn phải bẻ được mật khẩu và secret key 128 bit, nên tối thiểu bảo đảm mức an toàn 128 bit
  • LastPass khác thế nào? Secret key cũng bị đánh cắp à? Hay vault bị đánh cắp tiếp tục trở thành mục tiêu của các đợt tấn công bổ sung để trích xuất secret key? LastPass không dùng cấu trúc tương tự 1Password sao? Hay kể cả khi dùng 1Password thì tôi vẫn nên nghĩ là không an toàn?
  • Tôi đã không dùng LastPass từ sau vụ xâm phạm bảo mật lớn thứ hai vào năm 2013. Trên Wikipedia chỉ ghi tổng cộng 3 sự cố, nhưng tôi nhớ đã thấy ít nhất 5 báo cáo từ 2010 đến nay. Trong thời gian đó tôi vẫn thấy các công ty tiếp tục dùng LastPass, lần nào cũng ngạc nhiên
  • LastPass nói rằng không có bằng chứng liên kết hai sự cố. Nhưng thật khó tin là những người lưu trữ các “bộ sưu tập” trị giá hàng triệu đô lại không thay mật khẩu ít nhất mỗi năm một lần
  • Việc xoay vòng mật khẩu không còn là thông lệ tốt nhất nữa, nhưng trong trường hợp này nó vẫn là lựa chọn thận trọng
  • Tôi chỉ bình tĩnh nhìn KeepassXC chạy cục bộ
  • Người ta bảo hãy lưu mật khẩu lên cloud, rồi nói rằng sẽ chẳng có vấn đề gì cả
  • Việc tập trung toàn bộ thông tin đăng nhập của mọi người vào một chỗ vẫn là ý tưởng nguy hiểm nhất. Với hacker thì thứ hấp dẫn hơn có thể là thuốc tăng thành tích miễn phí, nhưng chỉ trong chốc lát thôi, rồi chúng lại quay về đánh cắp thông tin đăng nhập của tất cả mọi người
  • Mục tiêu khác nữa: toàn bộ thông tin định danh cá nhân của mọi người, thông tin về bạn bè, gia đình, thú cưng, câu trả lời cho câu hỏi bảo mật, mobile ID, mã PIN, số tài khoản, chữ ký, ảnh, dấu vân tay, mẫu giọng nói, quét khuôn mặt và võng mạc, dáng đi, DNA, RNA ty thể
  • Tôi nhớ khi LastPass mới xuất hiện, ai cũng nghĩ nó yếu và không đáng tin. Pepperidge Farm cũng nhớ điều đó
  • Những người nhạy cảm về bảo mật thì làm gì với mật khẩu? Có vẻ либо dùng cùng một mật khẩu cho mọi thứ, либо dùng password manager. Nhưng tôi luôn lo rằng nếu mọi mật khẩu đều nằm ở một chỗ, thì khi một chỗ đó bị xâm phạm sẽ không phải chỉ mất một cái mà là mất hết
  • Nhiều giải pháp dường như là sự đánh đổi với tính tiện lợi. Bạn có thể giữ một cuốn binder vật lý đầy mật khẩu trong văn phòng làm việc, nhưng việc mỗi lần phải tra ra rồi nhập vào rất phiền, và đó cũng là rủi ro lớn với bất kỳ ai có thể tiếp cận vật lý