Onderzoekers: 4,4 miljoen dollar gestolen van slachtoffers LastPass-hack
Op 25 oktober hebben criminelen 4,4 miljoen dollar aan cryptovaluta gestolen van slachtoffers van de LastPass-hack, zo stellen onderzoekers 'ZachXBT' en MetaMask-ontwikkelaar Taylor Monahan. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.
Monahan deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, zo liet Monahan vorige maand tegenover it-journalist Brian Krebs en op X weten.
De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. Nog altijd worden slachtoffers van de LastPass-hack beroofd, aldus de onderzoekers. Zo werd er alleen op 25 oktober een bedrag van 4,4 miljoen euro buitgemaakt. De onderzoekers roepen alle LastPass-gebruikers op die een seed phrase of keys in LastPass hebben opgeslagen om hun cryptovaluta meteen te migreren.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.
Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...
Eventueel kan Keepass op een apart offline apparaat worden gebruikt voor extra veiligheid.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.
Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...
Ga uw mond spoelen, de algene beveiliging en encryptiestandaarden van de meeste (gerenommeerde) password managers is een stuk beter dan het Exceletje dat notabene meestal "Wachtwoorden", "WachtoordNAAMWERKGEVER" of "Wachtwoorden klanten heeft en een kort of default wachtwoord.
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.
Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.
Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!
> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
Zelfs als je alles via 1 commando laat downloaden, moet je alsnog het bestand vinden, kraken en handmatig uitlezen.
Allemaal handwerk, of in ieder geval moet je gaan filteren tussen alle bestanden.
Als iemand een wachtwoord manager gebruikt, kan je direct automatisch alle wachtwoorden exporteren, en dan weet je dat je alle wachtwoorden in een juist formaat hebt, klaar om gebruikt of verkocht te worden.
Het gaat niet om hoe sterk de encryptie is, maar om hoe makkelijk extractie te automatiseren is.
Tuurlijk, als een hacker handmatig gaat kijken naar je bestanden zal hij aan je wachtwoorden kunnen komen.
Maar als hij bij je bestanden kan, dan ben je sowieso al de sjaak en helpt een password manager ook niet echt meer.
Als je bang bent dat een hacker dat doet, dan moet je gaan nadenken over het gebruik van hardwarematige authenticatie.
(TPM, yubikeys, 2FA, wachtwoord op papiertje in een kluis, etc)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
