image

Onderzoekers: 4,4 miljoen dollar gestolen van slachtoffers LastPass-hack

dinsdag 31 oktober 2023, 12:10 door Redactie, 7 reacties

Op 25 oktober hebben criminelen 4,4 miljoen dollar aan cryptovaluta gestolen van slachtoffers van de LastPass-hack, zo stellen onderzoekers 'ZachXBT' en MetaMask-ontwikkelaar Taylor Monahan. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.

Monahan deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, zo liet Monahan vorige maand tegenover it-journalist Brian Krebs en op X weten.

De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. Nog altijd worden slachtoffers van de LastPass-hack beroofd, aldus de onderzoekers. Zo werd er alleen op 25 oktober een bedrag van 4,4 miljoen euro buitgemaakt. De onderzoekers roepen alle LastPass-gebruikers op die een seed phrase of keys in LastPass hebben opgeslagen om hun cryptovaluta meteen te migreren.

Reacties (7)
31-10-2023, 12:50 door Anoniem
Dus het gebruik van een bekende password manager maakt je juist een doelwit.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.

Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...
31-10-2023, 13:46 door Anoniem
Het is het beste om een offline password-manager te gebruiken zoals Keepass, (XC, DX) het Keepass-bestand is daarnaast versleuteld, vergeet niet om een veilig wachtwoord in te stellen en pas op met malware op computers.
Eventueel kan Keepass op een apart offline apparaat worden gebruikt voor extra veiligheid.
31-10-2023, 15:59 door Anoniem
Door Anoniem: Dus het gebruik van een bekende password manager maakt je juist een doelwit.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.

Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...

Ga uw mond spoelen, de algene beveiliging en encryptiestandaarden van de meeste (gerenommeerde) password managers is een stuk beter dan het Exceletje dat notabene meestal "Wachtwoorden", "WachtoordNAAMWERKGEVER" of "Wachtwoorden klanten heeft en een kort of default wachtwoord.

Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.

My2Cents
31-10-2023, 21:20 door Anoniem
Door Anoniem:Ga uw mond spoelen, de algene beveiliging en encryptiestandaarden van de meeste (gerenommeerde) password managers is een stuk beter dan het Exceletje dat notabene meestal "Wachtwoorden", "WachtoordNAAMWERKGEVER" of "Wachtwoorden klanten heeft en een kort of default wachtwoord.

Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.

My2Cents
Hier ben ik het niet mee eens.
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.

Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!
01-11-2023, 19:04 door Anoniem
Door Anoniem:
Door Anoniem:Ga uw mond spoelen, de algene beveiliging en encryptiestandaarden van de meeste (gerenommeerde) password managers is een stuk beter dan het Exceletje dat notabene meestal "Wachtwoorden", "WachtoordNAAMWERKGEVER" of "Wachtwoorden klanten heeft en een kort of default wachtwoord.

Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.

My2Cents
Hier ben ik het niet mee eens.
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.

Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!

> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.

Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
01-11-2023, 22:04 door Anoniem
Door Anoniem:
> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.

Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
Verschil is dat er handmatig gezocht moet worden naar zo'n excel bestandje.
Zelfs als je alles via 1 commando laat downloaden, moet je alsnog het bestand vinden, kraken en handmatig uitlezen.
Allemaal handwerk, of in ieder geval moet je gaan filteren tussen alle bestanden.

Als iemand een wachtwoord manager gebruikt, kan je direct automatisch alle wachtwoorden exporteren, en dan weet je dat je alle wachtwoorden in een juist formaat hebt, klaar om gebruikt of verkocht te worden.

Het gaat niet om hoe sterk de encryptie is, maar om hoe makkelijk extractie te automatiseren is.
if( passwordmanager==true ){ stealFile( passwordmanager.config.db_fileloc ); startKeylogger(); }

Tuurlijk, als een hacker handmatig gaat kijken naar je bestanden zal hij aan je wachtwoorden kunnen komen.
Maar als hij bij je bestanden kan, dan ben je sowieso al de sjaak en helpt een password manager ook niet echt meer.

Als je bang bent dat een hacker dat doet, dan moet je gaan nadenken over het gebruik van hardwarematige authenticatie.
(TPM, yubikeys, 2FA, wachtwoord op papiertje in een kluis, etc)
06-11-2023, 17:55 door hanspaint
Ik zie hier weinig kennis betreffende password managers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.