Onderzoekers: 4,4 miljoen dollar gestolen van slachtoffers LastPass-hack
Op 25 oktober hebben criminelen 4,4 miljoen dollar aan cryptovaluta gestolen van slachtoffers van de LastPass-hack, zo stellen onderzoekers 'ZachXBT' en MetaMask-ontwikkelaar Taylor Monahan. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.
Monahan deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, zo liet Monahan vorige maand tegenover it-journalist Brian Krebs en op X weten.
De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. Nog altijd worden slachtoffers van de LastPass-hack beroofd, aldus de onderzoekers. Zo werd er alleen op 25 oktober een bedrag van 4,4 miljoen euro buitgemaakt. De onderzoekers roepen alle LastPass-gebruikers op die een seed phrase of keys in LastPass hebben opgeslagen om hun cryptovaluta meteen te migreren.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.
Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...
Eventueel kan Keepass op een apart offline apparaat worden gebruikt voor extra veiligheid.
En het opslaan in de browser is ook makkelijk te targetten. (ik beken schuld)
Bij een fysiek papiertje kan je het makkelijk verliezen of fouten maken.
Dan is een met wachtwoord beveiligd Excel documentje denk ik nog gek zo niet...
Ga uw mond spoelen, de algene beveiliging en encryptiestandaarden van de meeste (gerenommeerde) password managers is een stuk beter dan het Exceletje dat notabene meestal "Wachtwoorden", "WachtoordNAAMWERKGEVER" of "Wachtwoorden klanten heeft en een kort of default wachtwoord.
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.
Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!
Zelfs al zou een lang wachtwoord gebruikt worden een gestolen excelletje is eenvoudig te bruteforcen, gebruikt men verouderde office pakketten (want MKB heeft liever oud en goedkoop) is het al helemaal kinderspel.
My2Cents
Op het moment dat hackers dat bestand in handen krijgen, is je PC al onder handmatige controle van aanvallers.
En dan had een password manager niks uitgemaakt.
Er zijn genoeg malware families die bekende cookie/wachtwoord databases stelen, evenals private keys en cryptowallets.
Even keyloggen voor de master password lijkt mij dan een logische stap.
Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Als dat je threat model is, dan heb je wel grotere problemen!
> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
> Het stelen en uitlezen van excel bestandjes is nog een stap verder, en vereist dat aanvallers handmatig er naar zoeken.
Tuurlijk niet. Je kan een hele systeem downloaden met een simpele commando. Waar heb je het over?
Zelfs als je alles via 1 commando laat downloaden, moet je alsnog het bestand vinden, kraken en handmatig uitlezen.
Allemaal handwerk, of in ieder geval moet je gaan filteren tussen alle bestanden.
Als iemand een wachtwoord manager gebruikt, kan je direct automatisch alle wachtwoorden exporteren, en dan weet je dat je alle wachtwoorden in een juist formaat hebt, klaar om gebruikt of verkocht te worden.
Het gaat niet om hoe sterk de encryptie is, maar om hoe makkelijk extractie te automatiseren is.
Tuurlijk, als een hacker handmatig gaat kijken naar je bestanden zal hij aan je wachtwoorden kunnen komen.
Maar als hij bij je bestanden kan, dan ben je sowieso al de sjaak en helpt een password manager ook niet echt meer.
Als je bang bent dat een hacker dat doet, dan moet je gaan nadenken over het gebruik van hardwarematige authenticatie.
(TPM, yubikeys, 2FA, wachtwoord op papiertje in een kluis, etc)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.