3min Security

Oude LastPass-hack leidt tot 5 miljoen euro aan gestolen cryptomunten

Oude LastPass-hack leidt tot 5 miljoen euro aan gestolen cryptomunten

In 2022 werd LastPass meermaals gehackt. De gevolgen ervan zijn jaren later nog steeds actueel. Vandaag blijkt dat veertig houders van cryptomunten beroofd zijn van 5,1 miljoen euro aan deze valuta.

De identiteit van de aanvaller is onbekend. Blockchain-onderzoeker ZachXBT ontdekte dat 40 crypto-portemonnees werden ingeruild voor Ethereum, dat later via verschillende instant-transacties naar Bitcoin werd getransfereerd.

Hack uit 2022

Wachtwoordmanager LastPass verloor in 2022 veel gevoelige gegevens door meerdere hacks. Source code, keys van klanten, API-tokens en MFA-seeds waren de voornaamste opbrengsten voor de aanvallers. In oktober 2023 en februari van dit jaar werden cryptomunten vervolgens gestolen via deze LastPass-data. Daar waar de eerste keer 4,4 miljoen euro werd binnengehaald, was dit de tweede keer 5,9 miljoen. Echter stelden andere onderzoekers dat de verliezen rond de 35 miljoen euro kunnen bedragen. Hoe hoog het bedrag volgens experts nu zou zijn met de nieuwste gegevens, is onbekend.

LastPass is inmiddels losgeweekt van voormalig eigenaar GoTo. Het bedrijf tracht het vertrouwen van gebruikers te herwinnen, die meer dan genoeg alternatieve wachtwoordmanagers kunnen kiezen. Het niet naleven van best practices schaadde het vertrouwen al, bijvoorbeeld het toestaan van korte, eenvoudig te raden wachtwoorden om de app in te schakelen. Nu opnieuw blijkt dat de schade voor klanten uit 2022 enorm kan zijn, wordt LastPass erop gedrukt dat eerdere fouten nog gevolgen in het heden hebben.

Klanten ook achtervolgd

Wie inmiddels is afgestapt van LastPass, is niet gevrijwaard van de negatieve gevolgen van de hack. Wie immers tot de onfortuinlijke groep behoort waarvan zowel de wachtwoorden als de cryptografische sleutels zijn gestolen, kan al gecompromitteerd zijn op elk account dat met LastPass verbond. De enige manier om dan veilig te zijn, is om alle wachtwoorden te hebben gewijzigd en MFA in te stellen. Zelfs dan is de gestolen informatie waardevol genoeg om overtuigende phishing-mail te ontvangen, dat gebruikers opnieuw teistert.

LastPass ontkent dat de cryptodiefstal iets te maken heeft met de hack uit 2022. Christofer Hoff, Chief Secure Technology Officer bij het bedrijf, stelt het volgende: “Er is een jaar verstreken sinds de eerste beweringen opdoken over een verband tussen bepaalde diefstallen van cryptocurrency en de 2022 LastPass beveiligingsincidenten. In die tijd heeft LastPass deze beweringen onderzocht en tot op heden is er geen sluitend bewijs bekend dat deze cryptodiefstallen direct in verband brengt met LastPass. Omdat we elke claim met betrekking tot de beveiliging van LastPass en onze klanten serieus nemen, blijven we beveiligingsonderzoekers die denken dat ze bewijs hebben, uitnodigen om contact op te nemen met het LastPass Threat Intelligence-team op securitydisclosure@lastpass.com.”

Lees ook: ‘Hacker bemachtigde details AI-technologie OpenAI’